Verwerkersovereenkomst

Verwerkersovereenkomst

Tussen: Stad Brussel hierbij rechtsgeldig vertegenwoordigd door het college van Brugemeester en schepenen, met als vertegenwoordiger Xxx Xxxxx Xx Xxxxx (Schepen van Burgerlijke Stand) en Xxx Xxxxxxx (Algemeen directeur).

Hierna genoemd ”Stad Brussel”, met maatschappelijke zetel gelegen te Xxxxxxxxxxx 0, 0000 Xxxxxxx, zijnde de verwerkingsverantwoordelijke.

Gegevens van de DPO: xxxxxxx@xxxxxxx.xx

en: Uitgeverij Vanden Broele NV, met maatschappelijke zetel gelegen te Xxxxxxxxxxxx 00, 0000 Xxxxxx, ondernemingsnummer 0451.355.351, hierbij rechtsgeldig vertegenwoordigd door Vanden Broele Invest BVBA, met als vast vertegenwoordiger de heer Xxx Xxx xxx Xxxxxx.

Hierna genoemd “Xxxxxx Xxxxxx”, zijnde de verwerker. Gegevens van de DPO: xxx@xxxxxxxxxxxx.xx

Wordt als volgt overeengekomen:

1. Algemene context en voorafgaande bepalingen

De verwerkingsverantwoordelijke beschikt over persoonsgegevens, waarvan hij bepaalde aspecten van de verwerking ervan wil toevertrouwen aan de verwerker. Deze overeenkomst heeft als doel de uitvoering en de organisatie van die verwerking door de verwerker te regelen.

Alle betrokken partijen verbinden er zich principieel en uitdrukkelijk toe om volgende bepalingen na te leven:

• Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens.

• Algemene Verordening Gegevensbescherming (AVG), aangenomen op 27/04/2016 en effectief van

toepassing vanaf 25/05/2018.

• Minimale veiligheidsnormen Kruispuntbank Sociale Zekerheid (KSZ) - Minimale Normen Versie 2015 (ISO 27002:2013).1

• Richtsnoeren met betrekking tot de informatiebeveiliging van persoonsgegevens in steden en

gemeenten, in instellingen die deel uitmaken van het netwerk dat beheerd wordt door de Kruispuntbank van de Sociale Zekerheid en bij de integratie van OCMW – Gemeente. Versie: 3.0.2

1 xxxxx://xxx.xxx-xxxx.xxxx.xx/xx/xxxxxxxxxx-xx-xxxxxxx/xxxxxxxxxxx/xxxxxxxx-xxxxxx

2 xxxxx://xxx.xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx.xx/xxxxx/xxxxxxxxxxxxxxxxx/xxxxx/xxxxxxxxx/Xxxxxx%00xx%00xxxxxxxxx_x%000.0_0.xxx

• Andere relevante regelgeving.

2. Contractuele bepalingen

Indien gelijk welke bepaling van deze overeenkomst wordt vernietigd of op eender welke andere wijze ongeldig wordt verklaard, blijft de rest van de overeenkomst bestaan en wordt de bewuste bepaling vervangen door een geldige bepaling die zo goed mogelijk de initiële bedoeling van de partijen weergeeft.

Wijzigingen van of aanvullingen op deze overeenkomst worden tussen de verwerker en de verwerkingsverantwoordelijke schriftelijk overeengekomen. Wijzigingen of aanvullingen worden vastgelegd in een addendum bij deze verwerkersovereenkomst en zijn pas bindend als dit addendum door beide partijen is ondertekend.

3. Opdracht context

Onderhavige verwerkersovereenkomst kadert binnen de afspraken die beide partijen maakten in afgesloten en/of af te sluiten overeenkomsten en de bijhorende bijlagen en heeft louter als doel de afspraken te formaliseren die tussen partijen worden gemaakt met betrekking tot de bescherming van persoonsgegevens in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG), aangenomen op 27/04/2016 en effectief van toepassing vanaf 25/05/2018.

De verwerker handelt uitsluitend in opdracht van de verwerkingsverantwoordelijke en zal persoonsgegevens slechts inzien en/of verwerken indien en voor zover dit noodzakelijk is voor de uitvoering van de overeenkomst. Hierbij zal de verwerker alle gedocumenteerde instructies van de verwerkingsverantwoordelijke opvolgen.

Overeenkomstig deze gedocumenteerde instructies en de bepalingen van deze overeenkomst zal de verwerker ten behoeve van de verwerkingsverantwoordelijke enkel persoonsgegevens verwerken voor de volgende doeleinden (ook gekend als finaliteit): anonimisering van ter beschikking gestelde akten van burgelijke stand.

De partijen kunnen via een eenvoudig aanhangsel bij deze verwerkingsovereenkomst nieuwe applicaties of verwerkingen toevoegen.

De verwerker houdt een register bij van de verwerkingsactiviteiten die zij ten behoeve de verwerkingsverantwoordelijke verricht. De AVG somt de elementen op die in het register moeten worden opgenomen, meer bepaald terug te vinden onder ‘artikel 30 - Register van de verwerkingsactiviteiten’ van de AVG.

Op eenvoudig redelijk verzoek van de verwerkingsverantwoordelijke is de verwerker ertoe gehouden dit register voor te leggen. De verwerker engageert zich om het register operationeel te hebben tegen uiterlijk de inwerkingtreding van deze overeenkomst.

De verwerker zal de verwerkingsverantwoordelijke kosteloos bijstaan bij (a) de naleving door de verwerkingsverantwoordelijke van diens eigen verplichtingen onder de artikelen 32 tot 36 van de AVG en (b) alle verzoeken van betrokkenen met betrekking tot de uitoefening van hun rechten.

4. Geheimhouding en vertrouwelijkheid

De verwerker is verplicht tot geheimhouding van de persoonsgegevens die hij van de verwerkingsverantwoordelijke ontvangt. Uitzondering op deze regel is slechts mogelijk voor zover een wettelijk

voorschrift of een rechterlijk bevel de verwerker tot mededelen verplicht of wanneer de gegevensverstrekking plaatsvindt in opdracht van de verwerkingsverantwoordelijke.

Elke wettelijk verplichte mededeling van de persoonsgegevens aan derden moet door de verwerker vooraf ter kennis worden gebracht aan verantwoordelijke voor de verwerking, tenzij dit wettelijk niet toegestaan is.

De geheimhouding blijft van kracht tot 10 jaar na het overdragen of beëindigen van deze overeenkomst.

5. Gebruik van gegevens

5.1. Gegevensdeling

Gegevens mogen door de verwerker alleen worden verwerkt voor de doeleinden die in deze overeenkomst omschreven worden.

De mededeling van gegevens aan derden die niet rechtstreeks deelnemen aan de uitvoering van de opdracht, is verboden, tenzij dit door of krachtens de wet of krachtens een rechterlijk bevel wordt opgelegd. Elke wettelijk verplichte mededeling van de persoonsgegevens aan derden moet door de verwerker vooraf ter kennis worden gebracht aan verantwoordelijke voor de verwerking, behoudens indien dit wettelijk niet toegestaan is.

5.2. Onderaanneming

Voor de praktische uitvoering van de opdracht kan de verwerker onderaannemingscontracten afsluiten met derden.

De verwerkingsverantwoordelijke stemt hierbij specifiek in met de aanstelling van Xxxxxx Xxxxxx Productions BVBA, Vanden Broele Invest BVBA en Novado BVBA als subverwerker.

De verwerkingsverantwoordelijke stemt hierbij specifiek in met het subverwerken van persoonsgegevens door subverwerkers om de doeleinden te bereiken. Indien de verwerker de verwerking van persoonsgegevens namens de verwerkingsverantwoordelijke uitbesteedt, dan doet de verwerker dit steeds door middel van een schriftelijke overeenkomst met de subverwerker die dezelfde of minstens evenwaardige gegevensbeschermingsverplichtingen oplegt aan de subverwerker als de verplichtingen die onder deze overeenkomst zijn opgelegd aan de verwerker. Indien de subverwerker er niet in slaagt om zijn gegevensbeschermingsverplichting te vervullen krachtens een dergelijke schriftelijke overeenkomst, zal de verwerker volledig aansprakelijk blijven ten opzichte van de verwerkingsverantwoordelijke voor de naleving van deze verplichtingen.

De verwerker houdt een actuele lijst bij van de actieve onderaannemingscontracten met subverwerkers en kan deze binnen redelijke termijn op schriftelijk verzoek (incl. via e-mail) bezorgen aan de verwerkingsverantwoordelijke. De verwerker brengt de verwerkingsverantwoordelijke op structurele basis op de hoogte wanneer deze lijst wijzigt. Deze informatieplicht is niet van toepassing voor de wijzigingen die van tijd tot tijd plaatsvinden bij de wijzigingen in de aanstelling van free-lance consultants die essentieel full-time voor de verwerker werken.

Het feit dat de verwerker zijn verbintenissen geheel of gedeeltelijk toevertrouwt aan derden ontheft hem niet van zijn verantwoordelijkheid ten opzichte van de verwerkingsverantwoordelijke. Deze laatste erkent geen enkele contractuele relatie met deze derden.

De verwerker zal zijn werknemers of onderaannemers de geheimhoudingsverplichting die op hem rust opleggen. Hij zal het bewijs van hun naleving hiervan ter beschikking houden van de verwerkingsverantwoordelijke.

5.3. Duplicatie en bewaring van gegevens

De verwerker mag van de ter beschikking gestelde gegevens geen kopie maken, behalve met het oog op een back-up, of tenzij dit noodzakelijk is voor het uitvoeren van de opdracht zoals omschreven in deze overeenkomst.

De verwerker zal de gegevens niet langer bewaren dan noodzakelijk is voor het verrichten van de diensten waarvoor ze ter beschikking worden gesteld en dit voor een termijn van maximaal 6 maanden na het stopzetten van de overeenkomst. Zijn de gegevens hierna niet meer nodig, dan zal de verwerker ze onherstelbaar uitwissen dan wel terugbezorgen aan de verwerkingsverantwoordelijke en zijn DPO, dit conform de gemaakte afspraken in de SLA. Bij het ontbreken van een SLA wordt de termijn bepaald in onderling overleg.

Voor wat betreft het terugbezorgen van data na de stopzetting van de overeenkomst, wordt verduidelijkt dat het ter beschikking stellen van ruwe data (bv. Oracle, SQL) kosteloos is. Het overdragen van bewerkte data / servers is betalend in lijn met te maken of gemaakte afspraken.

De verwerker zal, na het einde van de verwerking, op verzoek van de verwerkingsverantwoordelijke onmiddellijk alle kopieën van de verwerkte persoonsgegevens en afgeleiden, afkomstig van de verwerkingsverantwoordelijke of verwerkt in opdracht van de verwerkingsverantwoordelijke, ter beschikking stellen en/of onherstelbaar vernietigen.

De verwerker zal de gegevens nooit opslaan op een locatie buiten de Europese Economische Ruimte of doorgeven aan landen buiten de Europese Economische Ruimte. Daarnaast zal de verwerker de gegevens niet opslaan op een locatie buiten het Belgische grondgebied, zonder voorafgaande schriftelijke toestemming van de verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke kan voorwaarden verbinden aan haar toestemming.

Op eventuele duplicaten van gegevens en hun afgeleiden zijn dezelfde beperkingen en verplichtingen van toepassing als op de originele gegevens.

6. Veiligheid

De verwerker zorgt voor een passende beveiliging van de persoonsgegevens die hij verwerkt. Dit omvat minstens de onderstaande elementen.

6.1. Toegang tot de gegevens

De verwerker garandeert dat de personen die in zijn naam en voor zijn rekening werken uitsluitend toegang hebben tot de gegevens die ze nodig hebben om hun taak of opdracht in het kader van deze overeenkomst uit te voeren. Dit geldt voor personeel, ingehuurd of tijdelijk personeel en eventuele derde partijen die rechtstreeks of onrechtstreeks betrokken zijn bij de uitvoering van de opdracht.

De verwerker voorkomt door middel van functiescheiding dat een combinatie van toegangsrechten kan leiden tot ongeautoriseerde handelingen en/of toegang tot gegevens.

De verwerker neemt maatregelen met betrekking tot de preventie en opsporing van fraude en elk ander oneigenlijk gebruik van of toegang tot systemen en netwerken.

Het netwerk en de informatiesystemen worden actief gemonitord en beheerd door de verwerker. Er is tevens een procedure beschikbaar om eventuele datalekken af te handelen. Onderdeel hiervan is het informeren van de verwerkingsverantwoordelijke.

De verwerker verstrekt op redelijk verzoek van de verwerkingsverantwoordelijke de nodige informatie over de mechanismen voor fysieke en/of elektronische toegang tot de systemen en gegevens van de verwerkingsverantwoordelijke. Deze mechanismen moeten een aantoonbaar veilige manier voorzien om toegang tot de gegevens te verschaffen.

De verwerker voorziet op redelijk verzoek van de verwerkingsverantwoordelijke een geactualiseerde lijst van het personeel, ingehuurd of tijdelijk personeel en eventuele derde partijen die rechtstreeks of onrechtstreeks betrokken zijn bij de uitvoering van de opdracht en de machtigingen die zij hebben met betrekking tot de verwerkte gegevens.

6.2. Incidenten melden

De verwerker verbindt zich er toe alle (pogingen tot) onrechtmatige of anderszins ongeautoriseerde verwerkingen of toegangen tot persoonsgegevens of andere vertrouwelijke gegevens te melden. De verwerker meldt dit onmiddellijk aan de verwerkingsverantwoordelijke, ten laatste 24 uur na het vaststellen van het incident. Daarnaast zal de verwerker alle redelijkerwijs benodigde maatregelen treffen om (verdere) schending van de beveiligingsmaatregelen te voorkomen of te beperken.

De verwerker zal in deze melding het volgende aangeven, voor zover beschikbaar:

• aard van het incident

• tijdstip van vaststelling

• geïmpacteerde gegevens

• direct genomen maatregelen om bijkomende schade te beperken

• tijdstip van afsluiting van het incident

• structureel genomen maatregelen ter voorkoming in de toekomst

Indien de informatie niet beschikbaar is, zal deze op een later tijdstip worden meegedeeld.

De verwerkingsverantwoordelijke zal datalekken die onder een wettelijke meldplicht vallen, melden bij de betreffende toezichthouder binnen de wettelijke voorziene tijdsspanne.

6.3. Sensibilisatie en opleiding van personeel met toegang tot gegevens

De verwerker verbindt zich ertoe de personen die onder zijn verantwoordelijkheid of gezag werken kennis te geven van:

• elk voorschrift betreffende de bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens

• enige ander voorschrift dat van toepassing is op de verwerking van gegevens in het kader van de

opdracht waarop deze overeenkomst van toepassing is.

De verwerker brengt de verwerkingsverantwoordelijke op aanvraag schriftelijk (inclusief e-mail) op de hoogte van de precieze manier waarop hij deze verbintenis nakomt.

6.4. Minimale technische en organisatorische maatregelen

De verwerker waarborgt, voor zover dit technisch mogelijk is, de integriteit, de beschikbaarheid en de vertrouwelijkheid van alle gegevens die hij in het kader van dit contract bewerkt. Dit doet hij minstens door het implementeren en gebruiken van beveiligingstechnologieën en -technieken, die in overeenstemming zijn met de best practices in de industrie. Dit is inclusief mechanismen om kwetsbaarheden te detecteren en/of te identificeren en het tijdig doorvoeren van patches en/of updates.

De verwerker verzekert dat, voor zover hij redelijkerwijze hoort te weten, geen enkele uitrusting of software die hij in het kader van dit contract gebruikt een inbreuk maakt op het intellectuele eigendomsrecht van een derde (zoals het auteursrecht, octrooi, recht sui generis, merk, …)

De verwerker een DPO (data protection officer) aangewezen en heeft een actueel veiligheidsbeleid en -plan opgesteld dat jaarlijks wordt herzien.

Activiteiten die gebruikers uitvoeren met persoonsgegevens of afgeleiden worden vastgelegd in logbestanden. Hetzelfde geldt voor andere relevante gebeurtenissen, zoals pogingen om ongeautoriseerd toegang te krijgen tot persoonsgegevens en verstoringen die kunnen leiden tot wijziging of verlies van relevante gegevens.

De verwerker gebruikt vastgelegde procedures om de beschikbaarheid van informatie, software en andere bedrijfsmiddelen te waarborgen, inclusief de procedures ter borging van de beschikbaarheid tijdens de kritische momenten.

De verwerker voorziet een SLA in samenspraak met de verwerkingsverantwoordelijke waarin afspraken omtrent beschikbaarheid van de gegevens en van de relevante diensten worden gemaakt. Deze afspraken moeten duidelijk, ondubbelzinnig en bij voorkeur kwantificeerbaar zijn. De verwerker rapporteert hierover minstens 1 maal per jaar aan de verwerkingsverantwoordelijke.

7 Controlemogelijkheden

De verwerkingsverantwoordelijke heeft op elk ogenblik het recht om de naleving van deze overeenkomst te controleren. Daartoe heeft hij het recht om zich ter plaatse te begeven in de lokalen of plaatsen waar de verwerker de gegevensverwerking uitvoert of waar zij de relevante informatie in verband met dit controlerecht ter beschikking stelt. De verwerkingsverantwoordelijke zal de verwerker minstens tien (10) dagen voorafgaand aan het uitvoeren van de controle schriftelijk (inclusief e-mail) hierover inlichten. Een dergelijke audit zal niet vaker dan 1 keer per contractjaar plaatsvinden.

Op eenvoudig redelijk verzoek van de verwerkingsverantwoordelijke, is de verwerker ertoe gehouden alle redelijkerwijze verlangde informatie te verstrekken, inclusief beleids- en veiligheidsplan ,en bijstand te verlenen bij het uitvoeren van de audits.

In audits geconstateerde tekortkomingen worden door de verwerker opgepakt en omgezet tot een plan. Dit plan wordt binnen de termijn conform de afgesloten SLA op het vlak van incident- en changemanagement of, in geval er geen SLA van toepassing is, een redelijke termijn die in verhouding staat tot de ernst en de complexiteit van de vastgestelde tekortkoming ter beoordeling en goedkeuring aan de verantwoordelijke voor de verwerking aangeboden.

De verwerker draagt voor eigen rekening zorg voor de implementatie van de corrigerende maatregel en dit in overeenstemming met de timing die in het vooropgestelde plan (cfr. supra) is opgegeven, tenzij de partijen anders overeenkomen.

8 Start en einde overeenkomst

Deze overeenkomst treedt in werking na ondertekening door beide partijen. De overeenkomst wordt aangegaan voor de periode dat de overeenkomst voor verwerkingsactiviteiten door de verwerker van kracht is. Indien laatstgenoemde overeenkomst wordt beëindigd, eindigt ook de onderhavige overeenkomst met uitzondering van de geheimhouding, deze blijft van kracht na het overdragen of beëindigen van deze overeenkomst (zie punt 4).

Deze overeenkomst kan slechts met instemming van beide partijen worden gewijzigd en heeft eerst werking tussen beide partijen indien het schriftelijk is overeengekomen.

Elke partij kan de overeenkomst geheel of gedeeltelijk ontbinden indien de wederpartij toerekenbaar tekortschiet in de nakoming van deze overeenkomst en ook dertig (30) dagen na schriftelijke (inclusief e-mail) ingebrekestelling de tekortkoming niet is opgeheven, onverminderd het recht op schadevergoeding.

Elke partij kan een einde maken aan deze overeenkomst mits een aangetekend schrijven/email te sturen naar de andere partij met een opzegtermijn die niet minder mag zijn dan 30 dagen. Deze opzegtermijn begint te lopen vanaf de eerste dag van de week die volgt op de inzending.

Als, na het einde van de overeenkomst, alle gegevens en databases zijn teruggegeven, stelt de verwerker onmiddellijk een einde aan elke verwerking van de gegevens en vernietigt hij (onherstelbaar) elke kopie en back-up (zie punt 5.3) van de gegevens die hij nog zou bezitten, tenzij dit contractueel anders overeengekomen wordt tussen de partijen. De verwerker bezorgt na de uitvoering van de vernietiging een ondertekende “Verklaring van vernietiging” aan de verwerkingsverantwoordelijke.

9 Verantwoordelijkheden en aansprakelijkheid van de partijen

De verwerker is verantwoordelijk voor de schade voortvloeiend uit het niet-nakomen van deze overeenkomst alsmede de krachtens de privacywet tot bescherming van de persoonlijke levenssfeer gegeven voorschriften die van toepassing zijn op de verwerker, onverminderd de aansprakelijkheid op grond van andere regels, voor zover ontstaan door zijn werkzaamheid.

De aansprakelijkheid van de verwerker ten opzichte van de verwerkersverantwoordelijke is evenwel beperkt tot maximaal het bedrag dat het equivalent is van 6 maanden dienstverlening met betrekking tot de diensten waarop de inbreuk betrekking heeft. De verwerker is niet aansprakelijk voor onrechtstreekse of gevolgschade, waaronder (doch niet beperkt tot) verlies van winst, verlies van omzet, verlies van kans en verlies van goodwill.

De verwerker zal op geen enkele wijze aansprakelijk zijn voor schade die voortvloeit uit instructies van de verwerkingsverantwoordelijke. Indien de verwerkingsverantwoordelijke door een betrokkene wordt aangesproken met betrekking tot schadevergoeding, zal de verwerker tussenkomen in de procedure. Indien de verwerkingsverantwoordelijke aansprakelijk wordt gehouden, kan deze op de verwerker verhaald worden indien de verwerker toerekenbaar is tekortgeschoten in de naleving van deze overeenkomst en de krachtens de privacywet gegeven voorschriften binnen de beperkingen voorzien in dit artikel.

10 Geschillen

Alle geschillen, verband houdend met de uitvoering van deze overeenkomst, zullen worden voorgelegd aan de bevoegde rechter in het arrondissement waar de verwerkingsverantwoordelijke is gevestigd. Op deze overeenkomst is Belgisch recht van toepassing.

11 Slot

Bij ondertekening van dit document, verklaart de verwerker zich akkoord bovenstaande maatregelen te respecteren en ook op te leggen aan de medewerkers van zijn organisatie en aan iedereen die hij desgevallend inschakelt in het kader van de uitvoering van deze overeenkomst.

Hij beseft dat zijn organisatie verantwoordelijk kan gesteld worden voor misbruik of nalatigheid van zijn werknemers.

Opgemaakt te ………………….. op ……………………/2019 in 2 exemplaren.

Voor de verwerkingsverantwoordelijke,Voor de verwerker,

met vermelding ‘Gelezen en goedgekeurd’ met vermelding ‘Gelezen en goedgekeurd’

Naam: Naam: Xxx Xxx xxx Xxxxxx

Functie: Functie: CEO Uitgeverij Xxxxxx Xxxxxx

Handtekening: Handtekening: