PROTOCOL VOOR DE ELEKTRONISCHE MEDEDELING VAN PERSOONSGEGEVENS TUSSEN STAD KORTRIJK EN MEEMOO
PROTOCOL VOOR DE ELEKTRONISCHE MEDEDELING VAN PERSOONSGEGEVENS TUSSEN STAD KORTRIJK EN MEEMOO
in het kader van de (wederzijdse) uitwisseling van Materiaal en Metadata
Dit protocol wordt gesloten conform artikel 8, §1, van het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer (e-govdecreet).
TUSSEN
De vzw meemoo, met zetel te 0000 Xxxx, Ham 175, ondernemingsnummer: 0644.450.380 en vertegenwoordigd door de xxxx Xxxx Xxxxxxxxxx (directeur meemoo), hierna ‘meemoo’ genoemd
en
Stad Kortrijk, met zetel Xxxxx Xxxxx 00, 0000 Xxxxxxxx, vertegenwoordigd door het college van burgemeester en schepenen, voor wie tekenen: Xxxx Xxxxxxxxxxxx, Burgemeester en Xxxxxxxx Xxxxxx, Algemeen directeur in uitvoering van het collegebesluit d.d. [datum van het desbetreffende besluit]
ingeschreven in het KBO met nummer 0207.494.678 waarvan de administratieve zetel zich bevindt te Xxxxx Xxxxx 00, 0000 Xxxxxxxx
Stad Kortrijk en meemoo worden hieronder ook wel afzonderlijk aangeduid als een ‘partij’ of gezamenlijk als de ‘partijen’;
NA TE HEBBEN UITEENGEZET
A. Stad Kortrijk is een lokaal bestuur;
B. Meemoo heeft als doelstelling om bedreigde dragers te digitaliseren en het digitale erfgoed, met een focus op het audiovisuele erfgoed van Vlaanderen, duurzaam te archiveren en te ontsluiten. Meemoo werd - oorspronkelijk als Vlaams Instituut voor de Archivering (VIAA) - door de Vlaamse Regering opgericht op 21 december 2012 en werd in 2016 een zelfstandige vzw gefinancierd door de Vlaamse overheid. De Vlaamse Regering besliste i.k.v. de verdeling van de middelen voor erfgoed voor de periode 2019-2023 tot een uitbreiding van de taken van VIAA vzw door een fusie tussen VIAA vzw met Packed vzw en Xxxxx xxx. Deze fusie werd verankerd in het decreet van 29 maart 2019 houdende diverse bepalingen in het beleidsveld cultuur waarin het doel van de nieuwe fusie- organisatie omschreven werd en de vzw hierna ook een naamsverandering onderging naar meemoo vzw;
C. In het kader van een samenwerkingsovereenkomst die gesloten werd tussen stad Kortrijk en meemoo, zal Materiaal en Metadata worden meegedeeld door stad Kortrijk aan meemoo die persoonsgegevens kan bevatten. Anderzijds zal meemoo ook Metadata meedelen aan stad Kortrijk die persoonsgegevens kan bevatten.
D. De partijen wensen overeenkomstig artikel 8, §1, van het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer een protocol te sluiten met betrekking tot de elektronische mededeling van persoonsgegevens. Dat protocol wordt bekendgemaakt op de website van beide partijen. Dit Protocol wordt gevoegd als addendum bij de samenwerkingsovereenkomst die partijen gesloten hebben.
E. De functionaris voor gegevensbescherming van stad Kortrijk heeft op 6 december 2021 advies met betrekking tot een ontwerp van dit protocol gegeven.
F. De functionaris voor gegevensbescherming van meemoo heeft op 2 december 2019 advies met betrekking tot een ontwerp van dit protocol gegeven.
WORDT OVEREENGEKOMEN WAT VOLGT:
Artikel 1: Onderwerp
In dit protocol worden de voorwaarden en modaliteiten van de (elektronische) mededeling van de persoonsgegevens zoals omschreven in artikel 3 tussen [INSTANTIE] en meemoo uiteengezet.
Artikel 2: Rechtvaardigingsgronden van zowel de mededeling als de inzameling van de persoonsgegevens
1. Partijen zijn ieder aan te merken als verwerkingsverantwoordelijke voor de eigen gegevensverwerking door of namens hen in het kader van dit protocol. Dit houdt in dat elk van de Partijen afzonderlijk verantwoordelijk is voor de verwerking van de Persoonsgegevens waarvoor zij zelfstandig en afzonderlijk de doeleinden en middelen bepalen in functie van de uitvoering van de Samenwerkingsovereenkomst. Partijen zijn dan ook te beschouwen als zelfstandige verwerkingsverantwoordelijke en niet als gezamenlijke verwerkingsverantwoordelijken.
De beoogde gegevensverwerking door Partijen gebeurt op grond van artikel 6.1 c (de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting) en/of
6.1 e) AVG (de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang).
In de mate dat er bijzondere categorieën van persoonsgegevens worden verwerkt, gebeurt dit op grond van artikel 9 e) (de verwerking heeft betrekking op persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaakt) en/of artikel 9 j) AVG (de verwerking is noodzakelijk met het oog op archivering in het algemeen belang).
2. Stad Kortrijk heeft de meegedeelde gegevens (Materiaal en Metadata) oorspronkelijk verzameld voor haar operationele doeleinden of in het kader van haar taken inzake archiefbeheer, zoals onder meer opgelegd door het Bestuursdecreet van 7 december 2018 (in het bijzonder titel III, hoofdstuk 3, afdeling 5), het Decreet Lokaal Bestuur van 22 december 2017, het Cultureelerfgoeddecreet van 27 februari 2017, het Kunstendecreet van 13 december 2013.
xxxxxx heeft de meegedeelde gegevens (Metadata) oorspronkelijk verzameld in het kader van haar taken om gedigitaliseerd materiaal duurzaam te archiveren en toegankelijk te maken, zoals beschreven in artikel 2 en 2/1 van het decreet van 20 mei 2016 houdende diverse bepalingen in het beleidsveld cultuur, jeugd en Brussel (zie in het bijzonder ook de Memorie van Toelichting (1817, nr. 1, p. 11-12) bij het decreet van 29 maart 2019 houdende diverse bepalingen in het beleidsveld cultuur).
3. Meemoo zal de meegedeelde gegevens verwerken voor volgende doeleinden:
● De digitalisering van bedreigde dragers
● De duurzame bewaring van het Materiaal en de Metadata
● De ontsluiting van het Materiaal en Metadata
Stad Kortrijk zal de meegedeelde gegevens (Metadata) onder meer verwerken in het kader van haar archiefplicht en - werking.
Het doeleinde voor de verdere verwerking door meemoo is archivering in het algemeen belang. Op deze verwerkingen geldt een uitzondering volgens artikel 5, 1, b), tweede zinsdeel AVG: deze verwerkingen worden niet als onverenigbaar beschouwd met de oorspronkelijke doeleinden zoals beoogd door [INSTANTIE].
Artikel 3: De gevraagde persoonsgegevens en de categorieën en omvang van de gevraagde persoonsgegevens conform het proportionaliteitsbeginsel
In onderstaande tabel wordt een overzicht gegeven van de verschillende persoonsgegevens die in overeenstemming met dit Protocol worden meegedeeld, alsook de verantwoording van de proportionaliteit en de bewaartermijn van de persoonsgegevens.
Opsomming van alle categorieën persoonsgegevens. | Motivering van de noodzaak voor de doeleinden |
Cluster 1: persoonsgegevens vervat in Materiaal Alle mogelijke categorieën van persoonsgegevens (waaronder ook persoonsgegevens als vermeld in artikel 9 en/of 10 AVG) | In het kader van archivering in het algemeen belang dient de authenticiteit en integriteit van het Materiaal gegarandeerd te worden. Om die reden is het noodzakelijk dat alle persoonsgegevens die voorkomen in het Materiaal worden meegedeeld. |
Cluster 2 : persoonsgegevens vervat in Metadata | Materiaal kan gelinkt worden aan Metadata waarin persoonsgegevens terug te vinden zijn die meer uitleg geven over bvb. de persoonsgegevens vervat in het (audiovisueel) |
Persoonlijke identificatiegegevens; persoonlijke bijzonderheden; lidmaatschappen | materiaal of over de houders van intellectuele rechten op dit materiaal. Om de doorzoekbaarheid of ontsluiting van dit Materiaal alsook het klaren van rechten mogelijk te maken, is het noodzakelijk dat de persoonsgegevens die voorkomen in deze Metadata of annotaties worden meegedeeld |
Deze meegedeelde gegevens zullen bewaard worden volgens de modaliteiten vastgelegd in de samenwerkingsovereenkomst tussen partijen. Deze bewaartermijn kan worden verantwoord gezien de wettelijke verplichting en/of de archivering in het algemeen belang.
Artikel 4: De categorieën van ontvangers en derden die mogelijks de gegevens eveneens verkrijgen
meemoo zal de meegedeelde persoonsgegevens in het kader van de in artikel 2 vooropgestelde finaliteiten kunnen beschikbaar stellen aan volgende categorie(ën) van ontvangers:
● Volgende personen zullen toegang hebben tot de opgevraagde persoonsgegevens:
o De werknemers/medewerkers van meemoo
o Stagiairs en tijdelijke of interim medewerkers
o Gedetacheerde leerkrachten
Enkel personen die omwille van hun functieprofiel deze informatie nodig hebben voor de uitvoering van hun werk, krijgen toegang tot de informatie.
● Daarnaast kunnen de meegedeelde gegevens worden beschikbaar worden gesteld aan of ingezien worden door:
o Onderwijsinstellingen, studenten en leerkrachten die gebruik maken van het Archief voor het Onderwijs
o Stad Kortrijk zelf
o Bezoekers van xxxxxxxxxx.xx (huidige naam platform)
o Andere personen die vermeld worden in de samenwerkingsovereenkomst of in specifieke overeenkomsten die tussen Partijen zijn gesloten
Stad Kortrijk zelfzal de meegedeelde persoonsgegevens kunnen beschikbaar stellen aan haar werknemers, medewerkers en aangestelden alsook aan de personen met wie zij contact heeft in het kader van haar archiefbeheer.
Partijen gaan akkoord dat de opgevraagde persoonsgegevens kunnen worden meegedeeld voor zover dit in overeenstemming is met de relevante wet- en regelgeving inzake de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens. Dat betekent onder meer dat waar wettelijk/decretaal vereist een protocol gesloten wordt voor de mededeling van de gevraagde gegevens.
Artikel 5. Periodiciteit van de mededeling en de duur van de mededeling
De persoonsgegevens zullen permanent op afroep wederzijds worden opgevraagd.
De mededeling van de persoonsgegevens gebeurt gedurende de duurtijd van de samenwerkingsovereenkomst tussen partijen.
Artikel 6: Beveiligingsmaatregelen
Volgende maatregelen worden getroffen ter beveiliging van de mededeling van de opgevraagde persoonsgegevens, vermeld in artikel 2:
● Beveiligde transfer van het Materiaal en Metadata naar meemoo’s datacenter, waarbij gehandeld wordt conform het beveiligingsbeleid van meemoo
● Beveiligde digitale transfer (met authenticatie en encryptie) van de Metadata naar Stad Kortrijk, waarbij gehandeld wordt conform het beveiligingsbeleid van meemoo
Partijen treffen ten minste volgende organisatorische en technische beveiligingsmaatregelen ter beveiliging van de ontvangen persoonsgegevens bij verdere verwerking: analyse en inschatting van de verschillende risico's, formele procedures en richtlijnen (bvb. bij verlies van USB-stick of diefstal van laptop), functionaris voor de gegevensbescherming (extern of intern), organisatie van de beveiliging van gebouwen, kantoorruimtes, server-ruimtes, computers etc., afspraken i.v.m. vertrouwelijkheid door het personeel laten ondertekenen, beveiliging van de fysieke toegang (werken met badge- systeem, toegangscodes), voldoende en passende back-up systemen, logische beveiliging van de toegang (codes etc.), lijst van de geautoriseerde personeelsleden, logging, opsporing en analyse van de toegang.
Partijen moeten kunnen aantonen dat de in dit artikel opgesomde maatregelen werden getroffen. Op eenvoudig verzoek van de ene Partij moet de andere Partij hiervan aan de ene Partij het bewijs overmaken.
In het geval een Partij voor de verwerking van persoonsgegevens die het voorwerp zijn van voorliggend protocol, een beroep doet op een verwerker (of meerdere verwerkers), doet deze Partij uitsluitend beroep op verwerkers die afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen bieden opdat de verwerking aan de vereisten van de AVG voldoet en de bescherming van de rechten van de betrokkene is gewaarborgd, in het bijzonder wanneer er beroep wordt gedaan op non-EER verwerkers of wanneer er een doorgifte gebeurt naar een land buiten de EER. De Partij sluit met de verwerkers een verwerkersovereenkomst in overeenstemming met artikel 28 AVG, of maakt wanneer de wetgeving dit vereist toepassing van de standaard contractbepalingen.
Artikel 7: Kwaliteit van de persoonsgegevens
Zodra een Partij één of meerdere foutieve, onnauwkeurige, onvolledige, ontbrekende, verouderde of overtollige gegevens in de persoonsgegevens, vermeld in artikel 3, vaststelt ten gevolge van een melding door een Betrokkene, meldt zij dat onmiddellijk aan de andere Partij die na onderzoek binnen een redelijke termijn van de voornoemde vaststellingen de gepaste maatregelen binnen een redelijke termijn treft en de andere Partij daarvan vervolgens op de hoogte brengt. Partijen zullen, waar mogelijk, dit op een geautomatiseerde wijze laten gebeuren.
Artikel 8: Sanctie bij niet-naleving en aansprakelijkheid
In het geval een Partij de voorwaarden van dit Protocol niet naleeft, kan de andere Partij de rechtzetting van de inbreuk vorderen, naast gebeurlijk een schadevergoeding die overeenstemt met haar effectief bewezen directe schade die uit deze inbreuk voortvloeit.
Artikel 9: Meldingsplichten
Partijen engageren zich in het licht van artikel 33 AVG om elkaar zonder onredelijke vertraging op de hoogte te stellen van elk gegevenslek dat zich voordoet betreffende de meegedeelde gegevens met impact op beide partijen en in voorkomend geval onmiddellijk gezamenlijk te overleggen teneinde alle maatregelen te nemen om de gevolgen van het gegevenslek te beperken en te herstellen. De partijen verschaffen elkaar alle informatie die ze nuttig of nodig achten om de beveiligingsmaatregelen te optimaliseren.
Partijen brengen elkaar onmiddellijk op de hoogte van wijzigingen van wetgeving met impact op voorliggend protocol, zoals de finaliteit, proportionaliteit, frequentie, duurtijd enz.
Artikel 10: Toepasselijk recht en geschillenbeslechting
Dit protocol wordt beheerst door het Belgisch recht.
Alle geschillen die voortvloeien uit of verband houden met dit protocol worden beslecht door de bevoegde rechtbank van het gerechtelijk arrondissement waar de zetel van meemoo is gevestigd.
Artikel 11: Inwerkingtreding en opzegging
Dit protocol treedt in werking op 1 januari 2020.
Partijen kunnen dit protocol schriftelijk opzeggen mits inachtneming van de opzegtermijn die is voorzien in de Samenwerkingsovereenkomst.
Het protocol eindigt van rechtswege wanneer er geen rechtsgrond meer bestaat voor de gevraagde doorgifte van persoonsgegevens.
Opgemaakt te Gent op in evenveel exemplaren als dat er partijen zijn.
Namens stad Kortrijk | Namens meemoo |
Datum: | Datum: |
Handtekening: Getekend door:Xxxx Xxxxxxxxxxxx (Sign Getekend op:2022-03-14 12:03:36 +01:0 Reden:Ik keur dit document goed | Handtekening: Xxxx Xxxxxxxx ondertekend door Xxxx Xxxxxxxxxx Xxxxxxxxxx (Signature) Datum: 2022.02.24 (Signature) 10:42:56 +01'00' |
Xxxx Xxxxxxxxxxxx | Xxxx Xxxxxxxxxx |
Burgemeester | Directeur meemoo |
Getekend door:Xxxxxxxx Xxxxxx (Signatur Getekend op:2022-03-10 13:53:01 +01:00 Reden:Ik keur dit document goed | |
Xxxxxxxx Xxxxxx | |
Algemeen directeur |