TRILUX LMS/DIGITALE DIENSTEN BIJLAGE BIJ DE
TRILUX LMS/DIGITALE DIENSTEN BIJLAGE BIJ DE
OPDRACHTGEGEVENSVERWERK ING
Deze bijlage bevat de concrete verplichtingen van de partijen met betrekking tot gegevensbescherming, die voortvloeien uit de Algemene of Aanvullende Voorwaarden van TRILUX GmbH & Co. KG, Xxxxxxxxxxx 0, 00000 Xxxxxxxx (xxxxxx 'TRILUX' of 'opdrachtnemer') voor lichtmanagementsystemen en digitale diensten 'LMS-AV' en uit de bijbehorende prestatiebeschrijving. Ze is van toepassing op alle activiteiten die hiermee verband houden en waarbij medewerkers van TRILUX of personen in opdracht van TRILUX persoonsgegevens verwerken of in contact kunnen komen met persoonsgegevens van de opdrachtgever (hierna 'klant').
1. Onderwerp en duur van de overeenkomst
1.1. TRILUX verwerkt persoonsgegevens in opdracht van de klant. Dit omvat alle activiteiten die TRILUX voor de klant uitvoert in overeenstemming met de prestatiebeschrijving en de LMS-AV en die een opdrachtverwerking vormen.
1.2. De prestaties worden uitsluitend verricht in een lidstaat van de Europese Unie of in een staat die partij is bij de Overeenkomst betreffende de Europese Economische Ruimte. Elke verplaatsing van de dienst of delen ervan naar een derde land vereist de voorafgaande toestemming van de klant en mag alleen plaatsvinden indien aan de bijzondere vereisten van art. 44 en volgende van de AVG is voldaan.
1.3. De verwerking wordt voor onbepaalde tijd uitgevoerd, tenzij contractueel anders is overeengekomen.
1.4. De klant kan het contract te allen tijde zonder opzegtermijn beëindigen indien er sprake is van een ernstige inbreuk door TRILUX op de voorschriften inzake gegevensbescherming of op de bepalingen van dit contract, indien TRILUX niet in staat of niet bereid is een instructie van de klant uit te voeren of indien TRILUX in strijd met het contract controlerechten van de klant weigert. Met name het niet naleven van de in dit contract overeengekomen en uit art. 28 AVG voortvloeiende verplichtingen vormt een ernstige inbreuk.
2. Soort en doel van de verwerking, soort persoonsgegevens en categorieën van betrokkenen
2.1. Het soort verwerking omvat alle soorten verwerkingen in de zin van art. 4, lid 2 AVG.
2.2. De doeleinden van de verwerking zijn alle doeleinden die noodzakelijk zijn voor de levering van de contractueel overeengekomen prestatie en alle in de punten 12. van deze overeenkomst over de opdrachtverwerking en in de prestatiebeschrijving overeengekomen verdere contractuele doeleinden.
2.3. TRILUX verwerkt de volgende gegevens van de armaturen bij Energy Monitoring:
– energieverbruik,
– bedrijfstijd en -duur,
– schakelstatus aan/uit,
– variabele DALI-indicatoren en
– serienummers van de door de klant gebruikte TRILUX armaturen,
– informatie over de ruimtes waarin de armaturen zijn geïnstalleerd.
Bij Light Monitoring komen daar nog bij:
– dimniveau,
– fouten van de DALI voorschakelapparaten en het LiveLink lichtmanagementsysteem,
– temperatuur in het voorschakelapparaat in de armatuur.
2.4. Betrokken personen kunnen de werknemers en regelmatig ingezette medewerkers van derde dienstverleners zijn, voor zover uit de ruimte-indeling en het ruimtegebruik in verband met de TRILUX Digitale Diensten conclusies kunnen worden getrokken over identificeerbare personen en/of hun gebruiksgedrag met betrekking tot TRILUX armaturen.
3. Informatie over onderhoud op afstand:
3.1. Voor zover de opdrachtnemer het onderhoud en/of de service van de IT-systemen uitvoert via onderhoud op afstand, is de opdrachtnemer verplicht om de opdrachtgever in staat te stellen de onderhoudswerkzaamheden op afstand adequaat te controleren. Dit kan bijvoorbeeld gebeuren door gebruik te maken van technologie die de opdrachtgever in staat stelt de door de opdrachtnemer uitgevoerde werkzaamheden op een monitor of een soortgelijk toestel te volgen.
3.2. Indien de klant onderworpen is aan een beroepsgeheimhoudingsplicht in de zin van § 203 van het Duitse Wetboek van Strafrecht (StGB), moet hij ervoor zorgen dat ongeoorloofde openbaarmaking in de zin van § 203 StGB door het onderhoud op afstand niet plaatsvindt. In dit verband is de opdrachtnemer verplicht technologieën te gebruiken die het niet alleen mogelijk maken de activiteit op het scherm te volgen, maar die de klant ook de mogelijkheid bieden de onderhoudswerkzaamheden op afstand op elk moment te stoppen.
3.3. Wanneer de klant bij onderhoud op afstand niet wil dat de activiteiten op een monitor of een vergelijkbaar apparaat worden geobserveerd, dan zal de opdrachtnemer de door hem uitgevoerde werkzaamheden op passende wijze documenteren.
3.4. Indien in het kader van het onderhoud gegevens bij de opdrachtnemer werden opgeslagen, moeten deze na voltooiing van de werkzaamheden weer zorgvuldig worden gewist.
4. Rechten en plichten, alsmede instructiebevoegdheden van de klant
4.1. Alleen de klant is verantwoordelijk voor de beoordeling of de verwerking overeenkomstig art. 6, lid 1 AVG is geoorloofd en voor de behartiging van de rechten van de betrokkenen overeenkomstig art. 12 tot 22 van de AVG ('verwerkingsverantwoordelijke' in de zin van art. 4 nr. 7 AVG). TRILUX is niettemin verplicht om alle vragen onmiddellijk door te sturen naar de klant als deze herkenbaar uitsluitend aan de klant gericht zijn.
4.2. Indien nodig zal de klant TRILUX laten weten wie de contactpersoon is voor kwesties inzake gegevensbescherming die zich voordoen in het kader van deze overeenkomst over de opdrachtverwerking.
4.3. Wijzigingen in het onderwerp van de verwerking en procedurele wijzigingen dienen in onderling overleg tussen de partijen afgestemd en schriftelijk of in een gedocumenteerd elektronisch formaat vastgelegd te worden. In de regel verstrekt de klant alle opdrachten, delen van opdrachten en instructies schriftelijk of in een gedocumenteerd elektronisch formaat. Mondelinge instructies moeten onmiddellijk schriftelijk of in een gedocumenteerd elektronisch formaat worden bevestigd.
4.4. De klant heeft het recht om zich voor het begin van de verwerking en regelmatig daarna op passende wijze te vergewissen van de naleving van de door TRILUX genomen technische en organisatorische maatregelen en van de in dit contract vastgelegde verplichtingen. De klant zal TRILUX onverwijld op de hoogte brengen indien hij fouten of onregelmatigheden vaststelt bij de controle van de opdrachtresultaten.
5. Personen bij de klant die bevoegd zijn instructies te geven, ontvangers van instructies bij TRILUX
De personen bij de klant die bevoegd zijn om instructies te geven, de ontvangers van instructies bij TRILUX en de communicatiekanalen die voor de instructies moeten worden gebruikt, worden apart overeengekomen tussen de partijen. Wanneer de contactpersonen worden gewijzigd of voor langere tijd verhinderd zijn, dient de opvolger of vertegenwoordiger onmiddellijk schriftelijk of elektronisch aan de contractpartner meegedeeld te worden. De instructies dienen gedurende de geldigheidsduur ervan en vervolgens nog drie volledige kalenderjaren bewaard te worden.
6. Verplichtingen van TRILUX
6.1. TRILUX verwerkt persoonsgegevens uitsluitend in het kader van de gemaakte afspraken en overeenkomstig de instructies van de klant, tenzij TRILUX op grond van de toepasselijke wettelijke bepalingen verplicht is tot een andere verwerking (bijv. onderzoek in strafzaken door OM of door nationale veiligheidsdiensten); in een dergelijk geval zal TRILUX de klant voorafgaand aan de verwerking op de hoogte stellen van deze wettelijke vorderingen, tenzij een dergelijke kennisgeving op grond van een zwaarwegend algemeen belang verboden is.
6.2. TRILUX gebruikt de voor verwerking verstrekte persoonsgegevens niet voor andere doeleinden, in het bijzonder niet voor eigen doeleinden. Er zullen geen kopieën of duplicaten van de persoonsgegevens worden gemaakt zonder medeweten van de klant.
6.3. TRILUX garandeert voor wat betreft de verwerking van persoonsgegevens volgens de opdracht dat alle afgesproken maatregelen overeenkomstig het contract worden afgewikkeld.
6.4. Bij de naleving van de rechten van de betrokkenen volgens art. 12 tot 22 AVG door de klant en bij het opstellen van de registers met werkzaamheden in het kader van de verwerking dient TRILUX in de noodzakelijke mate mee te werken en de klant - voor zover mogelijk - passend te ondersteunen.
6.5. TRILUX zal de klant er onmiddellijk op wijzen als een gegeven instructie naar haar mening in strijd is met de wettelijke voorschriften. TRILUX heeft het recht de uitvoering van de overeenkomstige instructie op te schorten totdat deze door de verantwoordelijke persoon bij de klant na controle wordt bevestigd of gewijzigd.
6.6. TRILUX dient persoonsgegevens uit de contractuele relatie te corrigeren, wissen of de verwerking ervan te beperken indien de klant dit door middel van een
instructie eist en indien hier geen gerechtvaardigde belangen van TRILUX tegenover staan. TRILUX mag informatie over persoonsgegevens uit de contractuele relatie alleen aan derden of de betrokkene verstrekken na voorafgaande instructie of toestemming van de klant.
6.7. TRILUX gaat ermee akkoord dat de klant - in principe op afspraak - het recht heeft om de naleving van de voorschriften inzake gegevensbescherming en - beveiliging en de contractuele overeenkomsten in redelijke en noodzakelijke mate zelf of via door de klant ingeschakelde derden te controleren. Dit kan met name gebeuren door het inwinnen van informatie en het inspecteren van de opgeslagen gegevens en de programma's voor gegevensverwerking, alsook door controles en inspecties ter plaatse, voor zover dit de werkzaamheden en organisatorische processen bij TRILUX niet belemmert. TRILUX zal bij deze controles haar medewerking verlenen.
6.8. TRILUX garandeert dat zij de bij de uitvoering van de werkzaamheden ingezette medewerkers voor aanvang van de werkzaamheden vertrouwd heeft gemaakt met de voor hen relevante bepalingen inzake gegevensbescherming en dat zij op passende wijze zijn verplicht tot geheimhouding voor de duur van hun werkzaamheden, alsmede na beëindiging van de arbeidsverhouding. TRILUX ziet bedrijfsintern toe op de naleving van de voorschriften inzake gegevensbescherming.
6.9. Bij TRILUX is als functionaris voor gegevensbescherming SAFE-PORT Consulting GmbH, Hülshoff-Straße 7, D-59469 Ense | Datenschutz | xxxxxxx@xxxxxx.xxx benoemd. Van een wisseling van de functionaris voor gegevensbescherming moet de klant onmiddellijk op de hoogte worden gesteld.
7. Meldingsplichten van TRILUX in geval van storingen van de verwerking en inbreuken op de bescherming van persoonsgegevens
TRILUX zal de klant onverwijld op de hoogte brengen van storingen, inbreuken op de voorschriften inzake gegevensbescherming of op de bepalingen in de opdracht, alsook van vermoedens van inbreuken op de gegevensbescherming of onregelmatigheden bij de verwerking van persoonsgegevens. Dit geldt met name ook ten aanzien van eventuele meldings- en kennisgevingsplichten van de klant. TRILUX verzekert dat zij de klant indien nodig adequaat zal ondersteunen bij zijn verplichtingen volgens art. 33 en 34 AVG. TRILUX mag meldingen overeenkomstig art. 33 of 34 AVG voor de klant alleen na voorafgaande instructie uitvoeren.
8. Relaties op basis van uitbestede opdrachten aan onderaannemers / andere verwerkers
8.1. De klant verleent TRILUX de algemene toestemming om gebruik te maken van andere verwerkers in de zin van art. 28 AVG.
8.2. TRILUX zal de klant op de hoogte brengen indien een wijziging wordt beoogd met betrekking tot het inschakelen of vervangen van andere verwerkers. Een bezwaar tegen de beoogde wijziging moet binnen 4 weken na ontvangst van de informatie over de wijziging bij TRILUX worden ingediend. In geval van bezwaar kan TRILUX naar eigen goeddunken de dienst verlenen zonder de beoogde wijziging of - indien het verlenen van de dienst zonder de beoogde wijziging voor TRILUX niet redelijk is - de prestatie waarop de wijziging betrekking heeft voor de klant beëindigen binnen 4 weken na ontvangst van het bezwaar.
8.3. Indien TRILUX opdrachten aan andere verwerkers geeft, is het aan TRILUX om haar verplichtingen inzake gegevensbescherming uit dit contract over te dragen aan de andere verwerker. Het contract met de onderaannemer moet schriftelijk zijn, eventueel ook in elektronische vorm.
8.4. Een actuele lijst van de ingeschakelde onderaannemers is te vinden op xxx.xxxxxx.xxx/XXX.
9. Technische en organisatorische maatregelen overeenkomstig art. 32 AVG (art. 28 lid 3 punt c) AVG)
9.1. De klant kan de actueel geldende technische en organisatorische maatregelen raadplegen op xxx.xxxxxx.xxx/XXX.
9.2. Voor de specifieke verwerking wordt een beschermingsniveau gewaarborgd dat is afgestemd op het risico voor de rechten en vrijheden van de natuurlijke personen waarop de verwerking betrekking heeft. Daartoe wordt op zodanige wijze rekening gehouden met de beveiligingsdoelstellingen van artikel 32, lid 1 AVG, zoals vertrouwelijkheid, integriteit en beschikbaarheid van de systemen en diensten, alsook de veerkracht ervan wat betreft de aard, omvang, omstandigheden en het doel van de verwerkingen, dat potentiële risico's permanent worden ingeperkt door passende technische en organisatorische maatregelen.
De klant informeert zich voorafgaand aan het sluiten van de overeenkomst voor de opdrachtverwerking en vervolgens met regelmatige tussenpozen over deze technische en organisatorische maatregelen.
De klant is er verantwoordelijk voor dat de contractueel overeengekomen technische en organisatorische maatregelen in hun meest recente
vorm voor de risico's van de te verwerken gegevens een passend beschermingsniveau bieden. TRILUX behoudt zich het recht voor om de genomen technische en organisatorische maatregelen te wijzigen, voor zover het beschermingsniveau niet geringer wordt dan de AVG en de overeengekomen standaards vereisen.
10. Verplichtingen van TRILUX na beëindiging van de opdracht
10.1. Na beëindiging van de contractuele prestaties zal TRILUX alle persoonsgegevens, documenten en verwerkings- of gebruiksresultaten die in het kader van de contractuele relatie zijn opgesteld en die zij heeft verkregen of die bij onderaannemers terecht zijn gekomen, wissen of vernietigen in overeenstemming met de gegevensbescherming.
10.2. Het wissen resp. vernietigen wordt op verzoek van de klant schriftelijk of in een gedocumenteerd elektronisch formaat bevestigd door TRILUX, met vermelding van de datum.
11. Wederzijdse steun
In het geval van art. 82 van de AVG verbinden de partijen zich ertoe elkaar bijstand te verlenen en bij te dragen tot de opheldering van de onderliggende kwestie.
12. Overeenkomst over verdere contractuele doeleinden
12.1. TRILUX heeft het recht om de persoonsgegevens die onder deze overeenkomst vallen
a) voor het oplossen van problemen in de beschikbaar gestelde dienst waar de gegevens zijn opgeslagen,
b) ten behoeve van kwaliteitsborging voor de beschikbaar gestelde dienst of voor een nieuwere versie van de dienst
c) ten behoeve van de ontwikkeling van nieuwe of de verdere ontwikkeling van bestaande TRILUX-diensten in een adequaat beveiligde omgeving te verwerken.
12.2. TRILUX heeft het recht om de persoonsgegevens die onder deze overeenkomst vallen te verwerken,
a) voor zover dit absoluut noodzakelijk en evenredig is om de netwerk- en informatiebeveiliging te waarborgen,
b) voor zover daarmee wordt gewaarborgd dat een netwerk of informatiesysteem met de overeengekomen mate van betrouwbaarheid in staat
is om storingen of illegale of moedwillige inbreuken af te wenden, welke een negatief effect hebben op de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van opgeslagen of verzonden persoonsgegevens alsmede de veiligheid van daarmee verband houdende diensten die via deze netwerken of informatiesystemen worden aangeboden of toegankelijk zijn.
Dit omvat in het bijzonder ook het voorkomen van ongeoorloofde toegang tot elektronische communicatienetwerken en van de verspreiding van kwaadaardige programmacodes, alsmede het voorkomen van aanvallen in de vorm van een doelgerichte overbelasting van servers (‘denial-of- service-aanvallen’) en van schade aan computer- en elektronische communicatiesystemen