gedelegeerd bestuurder


Shape1

gedelegeerd bestuurder


De Vlaamse Dienst voor Arbeidsbemiddeling en Beroepsopleiding, publiekrechtelijk vormgegeven extern verzelfstandigd agentschap met rechtspersoonlijkheid, met hoofdkantoor te 0000 Xxxxxxx, Xxxxxxxxxxx 00, verder “de verwerkingsverantwoordelijke” genoemd, vertegenwoordigd door Xxx Xxxxxxxx, Gedelegeerd bestuurder ,

en

VUL IN: de NAAM VAN HET LOOPBAANCENTRUM, gevestigd te ADRES, verder “de verwerker” genoemd, vertegenwoordigd door, NAAM, FUNCTIE.


Gaan een verwerkersovereenkomst aan tussen verwerkingsverantwoordelijke en verwerker. Partijen komen het volgende overeen:


Artikel 1: Definities


In deze verwerkersovereenkomst gebruiken we begrippen die hieronder verduidelijkt worden:

AVG

Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming)

Betrokkene

Degene op wie een persoonsgegeven betrekking heeft.

Bevoegde instantie

Een instantie is die op basis van een concrete wettelijke bepaling, machtiging of andere grondslag op voldoende wijze aantoont dat ze bevoegd is om bepaalde gegevens te ontvangen.

Bijlage

Aanhangsel bij deze overeenkomst, die na door beide partijen te zijn geparafeerd, deel uitmaakt van deze verwerkersovereenkomst.

Datalek

Een inbreuk op de beveiliging zoals gedefinieerd in art. 4, 12) AVG

Derden

Anderen dan de verwerker, de verwerkingsverantwoordelijke en hun medewerkers.

Medewerkers

Personen die werkzaam zijn bij of voor de verwerker, in dienst of tijdelijk ingehuurd.

Opdracht

De opdracht zoals beschreven in bijlage

Verwerkersovereenkomst

Deze verwerkersovereenkomst.

Overeenkomst

Overeenkomst waarin de samenwerking tussen de verwerkingsverantwoordelijke en de verwerker beschreven staat.

Persoonsgegevens

Persoonsgegevens in de zin van artikel 4, 1) van de AVG. Persoonsgegevens zijn alle gegevens die direct of indirect herleidbaar zijn tot een natuurlijke persoon.

Verwerken / Verwerking

Verwerken in de zin van artikel 4, 2) van de AVG.



Artikel 2. Onderwerp van deze verwerkersovereenkomst


2.1. De verwerker verwerkt persoonsgegevens in opdracht van de verwerkingsverantwoordelijke in het kader van het aanbieden van loopbaanbegeleiding. De opdracht van de verwerker is nader beschreven in bijlage.


Artikel 3. Toepasselijkheid en looptijd


3.1 Deze verwerkersovereenkomst is van toepassing op iedere verwerking door de verwerker op basis van de opdracht van de verwerkingsverantwoordelijke.

3.2. Deze verwerkersovereenkomst gaat in op het moment van ondertekening en duurt voort zolang de verwerker persoonsgegevens verwerkt in het kader van de opdracht.

3.3. Artikel 8 van deze verwerkersovereenkomst blijft gelden, ook nadat de opdracht is beëindigd.


Artikel 4. Verwerking


4.1. De verwerker verwerkt de persoonsgegevens uitsluitend op de manier die de verwerkingsverantwoordelijke met hem heeft afgesproken in de opdracht in bijlage. Dit doet hij niet langer of uitgebreider dan noodzakelijk voor de uitvoering van deze opdracht. De verwerking gebeurt volgens de instructies van de verwerkingsverantwoordelijke, tenzij de verwerker op grond van de wet- of regelgeving verplicht is om anders te handelen.

4.2. De verwerker heeft geen zeggenschap over het doel en de middelen van de verwerking en neemt geen beslissingen over zaken als het gebruik van persoonsgegevens, de bewaartermijn van de verwerkte persoonsgegevens en het verstrekken van persoonsgegevens aan derden. De verwerkingsverantwoordelijke stelt het doel en de middelen van de verwerking van de persoonsgegevens duidelijk vast.

4.3. De verwerkingsverantwoordelijke is wettelijk verplicht er voor te zorgen dat hij de AVG en de andere wet- en regelgeving op het gebied van privacy naleeft. De verwerker zorgt ervoor dat hij voldoet aan de regelgeving die op hem van toepassing is op het gebied van de verwerking van persoonsgegevens en aan de afspraken in deze verwerkersovereenkomst.

4.4. De verwerker zorgt er voor dat alleen zijn medewerkers toegang hebben tot de persoonsgegevens. De uitzondering hierop is opgenomen in artikel 4.5. Hij beperkt toegang tot medewerkers voor wie de toegang noodzakelijk is voor hun werkzaamheden en tot de persoonsgegevens die ze daarvoor nodig hebben. Hij zorgt er voor dat de medewerkers die toegang hebben tot de persoonsgegevens een juiste en volledige instructie hebben gekregen over de omgang met persoonsgegevens en dat zij bekend zijn met de verantwoordelijkheden en verplichtingen van de AVG en deze overeenkomst.

4.5. De verwerker kan derden (sub-verwerkers) inschakelen voor het uitvoeren van bepaalde werkzaamheden, bijvoorbeeld als deze derden over specialistische kennis of middelen beschikken waarover hij niet beschikt. Als deze derden persoonsgegevens verwerken van de verwerkingsverantwoordelijke, dan zijn zij sub-verwerker van de verwerker. De verwerker legt aan zijn sub-verwerkers (schriftelijk) alle verplichtingen uit deze verwerkersovereenkomst op. De verwerker vermeldt alle sub-verwerkers in de bijlage van deze verwerkersovereenkomst en informeert de verwerkingsverantwoordelijke over alle wijzigingen.

4.6. De verwerkingsverantwoordelijke kan de verwerker verzoeken om persoonsgegevens te zoeken, wijzigen of verbeteren. Als de verwerker (rechtstreeks) verzoeken ontvangt van betrokkene(n) om inzage, wijziging of verbetering van persoonsgegevens, dan zendt hij deze verzoeken door naar de verwerkingsverantwoordelijke. Deze laatste handelt deze verzoeken zelf af.

4.7. De verwerker verwerkt de persoonsgegevens alleen binnen de Europese Economische Ruimte, tenzij hierover met de verwerkingsverantwoordelijke andere afspraken zijn gemaakt. Deze afspraken leggen zij gezamenlijk schriftelijk vast.

4.8. Als de verwerker een verzoek krijgt om persoonsgegevens ter beschikking te stellen dan doet hij dit alleen als het verzoek is gedaan door een daartoe bevoegde instantie. Bovendien beoordeelt hij eerst of het verzoek bindend is en of hij op grond van gedrags- en beroepsregels aan het verzoek moet voldoen. Als er geen strafrechtelijke of andere juridische belemmeringen zijn, dan stelt de verwerker de verwerkingsverantwoordelijke op de hoogte van het verzoek. De verwerker doet dat op een termijn dat het voor de verwerkingsverantwoordelijke mogelijk is om eventuele rechtsmiddelen tegen de verstrekking van de persoonsgegevens in te stellen.


Artikel 5. Beveiliging


5.1 De verwerker verbindt er zich toe de passende technische en organisatorische maatregelen te nemen om de persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking of toegang. Deze maatregelen dienen, rekening houdend met de stand van de techniek en de daarmee gemoeide kosten, een passend beveiligingsniveau te garanderen, gelet op de risico´s van de verwerking van persoonsgegevens. Ze omvatten ten minste diegene vermeld in de bijlage.

5.2. De verwerker informeert de verwerkingsverantwoordelijke als een van de beveiligingsmaatregelen substantieel wijzigt.


Artikel 6. Datalekken en andere beveiligingsincidenten


6.1. Als er sprake is van een datalek dan stelt de verwerker de verwerkingsverantwoordelijke daarvan op de hoogte. Hij doet dit binnen 48 uur nadat hij dit datalek heeft ontdekt of daarover door zijn sub-verwerkers is geïnformeerd. Hij bezorgt de verwerkingsverantwoordelijke alle informatie die redelijkerwijs nodig is om - indien nodig - een juiste en volledige melding te doen aan de toezichthoudende autoriteit en eventueel de betrokkene(n). Hij informeert de verwerkingsverantwoordelijke ook over de naar aanleiding van het datalek genomen maatregelen.

6.2. De melding van datalekken aan de toezichthoudende autoriteit en (eventueel) betrokkene(n) is altijd de verantwoordelijkheid van de verwerkingsverantwoordelijke.



Artikel 7. Bijstand


7.1. De verwerker zal de verwerkingsverantwoordelijke alle informatie verstrekken en alle bijstand verlenen die noodzakelijk is en/of die redelijkerwijze mag worden verwacht zodat de verwerkingsverantwoordelijke in staat is zijn verplichtingen uit de AVG na te komen én van deze nakoming het bewijs te leveren.

7.2. De verwerker zal alle mogelijke maatregelen nemen om ervoor te zorgen dat de verwerkingsverantwoordelijke kan voldoen aan de verzoeken van een betrokkene die zich beroept op zijn rechten zoals vermeld in de AVG. Hij verleent de verwerkingsverantwoordelijke daarbij, voor zover mogelijk, alle medewerking.


Artikel 8. Geheimhoudingsplicht


8.1. De verwerker houdt de verkregen persoonsgegevens geheim en verplicht zijn medewerkers en eventuele sub-verwerkers ook tot geheimhouding.


Artikel 9. Controle door de verantwoordelijke


9.1. De verwerkingsverantwoordelijke heeft het recht om de naleving van deze verwerkersovereenkomst te controleren. Hij kan zich daarvoor, na afspraak, ter plaatse begeven in de lokalen of plaatsen waar de verwerker de gegevensverwerking uitvoert en de gegevens bewaart.


Artikel 10. Aansprakelijkheid


10.1. De verwerkingsverantwoordelijke staat er voor in dat de verwerking van persoonsgegevens op basis van deze verwerkersovereenkomst niet onrechtmatig is en geen inbreuk maakt op de rechten van betrokkene(n).

10.2. De verwerker is aansprakelijk voor schade die het gevolg is van het niet naleven van deze verwerkersovereenkomst en de voorschriften in de AVG of andere wet- of regelgeving.

10.3. Als de verwerkingsverantwoordelijke door een betrokkene wordt aangesproken in schadevergoeding, zal de verwerker tussenkomen in de procedure, wanneer hij betrokken is bij deze verwerking. Als de verwerkingsverantwoordelijke aansprakelijk gehouden wordt, kan deze de schade op de verwerker verhalen indien hij de voorwaarden in deze verwerkersovereenkomst of de voorschriften van de AVG of andere wet- of regelgeving geschonden heeft.



Artikel 11. Beëindiging en teruggave / vernietiging persoonsgegevens


11.1. Als de opdracht wordt beëindigd, dan bezorgt de verwerker de verstrekte persoonsgegevens terug aan de verwerkingsverantwoordelijke of vernietigt deze op zijn verzoek. De verwerker bewaart een kopie van de persoonsgegevens als hij hiertoe op grond van wet- of (beroeps)regelgeving verplicht is.


Artikel 12. Aanvullingen en wijziging verwerkersovereenkomst


12.1. Aanvullingen en wijzigingen op deze verwerkersovereenkomst zijn alleen geldig als ze schriftelijk gebeuren.


Artikel 13. Toepasselijk recht en geschillen


13.1. Op deze verwerkersovereenkomst is Belgisch recht van toepassing.

13.2. Alle geschillen in verband met deze verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter in het arrondissement waar de verwerkingsverantwoordelijke gevestigd is.




Ondertekening

Ondertekend op Kies datum





_______________________________




_________________________________

VDAB

Naam

Functie

Organisatie

Naam

Functie




























BIJLAGE

VERWERKERSOVEREENKOMST



Doelstelling verwerking persoonsgegevens

De doelstelling van de verwerking van de persoonsgegevens is concreet beschreven in het Besluit van de Vlaamse Regering van 17 mei 2013 betreffende de loopbaanbegeleiding.


Persoonsgegevens

De verwerkingsverantwoordelijke zal in het kader van de doelstelling volgende persoonsgegevens aan de verwerker ter beschikking stellen om te verwerken:

  • Identificatiegegevens


Verwerking

De verwerker verwerkt de persoonsgegevens op de volgende manier:

  • Hij registreert alleen informatie over de burger die relevant en strikt noodzakelijk is om zijn opdracht te vervullen. De verwerker is verantwoordelijk voor de juistheid van de gegevens.

  • De systemen om persoonsgegevens te verwerken moeten voldoende veilig zijn. Hiervoor worden onder meer de technische en organisatorische maatregelen genomen zoals deze verder in de bijlage beschreven zijn.

  • Hij verwerkt de persoonsgegevens enkel voor het doelstelling zoals hierboven beschreven en niet voor ander activiteiten die buiten deze opdracht vallen (bijvoorbeeld commerciële activiteiten).

  • Hij communiceert transparant met de betrokkene over hoe, waarom en welke persoonsgegevens hij verwerkt

  • Hij registreert volgens de richtlijnen van de verwerkingsverantwoordelijke. De verwerker krijgt hiervoor de nodige technische en inhoudelijke informatie ter beschikking. Het is zijn verantwoordelijkheid om deze info aan zijn medewerkers mee te delen en er voor te zorgen dat zijn medewerkers de richtlijnen volgen.

  • Hij verwerkt geen rijksregisternummers in mails, op lijsten, in de cloud etc.

  • Hij verwerkt in geen enkel geval strafrechtelijke gegevens over de burger

  • Hij raadpleegt enkel gegevens die hij nodig heeft om zijn opdracht te vervullen en zolang het nodig is voor de opdracht.

  • Hij duidt een administrator aan die verantwoordelijk is voor het gebruikersbeheer. De verwerker zorgt er voor dat dit gebruikersbeheer up to date is (bv. afsluiten van toegang bij uitdiensttreding)

  • Hij geeft enkel informatie aan derden als die daar recht op hebben (zie richtlijnen VDAB).

  • De verwerkingsverantwoordelijke voorziet logging in het systeem en voorziet regelmatige controles op deze logging.

  • Het is de verantwoordelijkheid van de verwerker om zijn medewerkers over deze bepalingen in te lichten en ervoor te zorgen dat ze deze naleven. Hiervoor voorziet hij de nodige (tucht-)procedures.

  • Als de verwerker de bepalingen van deze verwerkersovereenkomst, de overeenkomst of de richtlijnen van de verwerkingsverantwoordelijke niet naleeft kan de verwerkingsverantwoordelijke zonder verdere ingebrekestelling overgaan tot onmiddellijke uitsluiting van de verwerker.



Technische en organisatorische maatregelen

De verwerker neemt tenminste de volgende technische en organisatorische maatregelen ter bescherming van de Persoonsgegevens tegen verlies of onrechtmatige verwerking:


ORGANISATORISCHE MAATREGELEN:

  • Aanwezigheid van Functionaris Gegevensbescherming of verantwoorden waarom deze niet nodig is binnen de organisatie.

  • Beleidsdocument verwerking persoonsgegevens

  • ICT-Veiligheidsbeleid

  • Richtlijnen over veilig gebruik ICT-infrastructuur (bijvoorbeeld laptop fysiek beveiligen, scherm vergrendelen)

  • Procedures voor overtreding regels

  • Richtlijnen over verwerken/delen persoonsgegevens (Bijvoorbeeld Clean desk policy, vertrouwelijk omgaan met informatie, documenten vernietigen, verwerking volgens AVG)

  • Deontologische code

  • Gebruikersopleidingen en bewustmakingsinitiatieven over verwerken van persoonsgegevens (met speciale aandacht voor bijzondere gegevens) en informatieveiligheid

  • Gebruikersopleidingen over verwerken van persoonsgegevens volgens VDAB richtlijnen.

  • Fysieke beveiliging ICT infrastructuur + lokalen tegen toegang onbevoegden en schade of storingen

  • Procedures voor verwerving, ontwikkeling, onderhoud en vernietiging van data en informatiesystemen

  • Communicatie en transparantie naar betrokkene

  • Procedures datalekken

  • Consequent gebruikersbeheer: up to date houden van gebruikers (bv. personen uit dienst verwijderen)




TECHNISCHE MAATREGELEN

  • Voorzieningen om systemen up to date te houden (virusbeveiliging)

  • Unieke inlogcode en wachtwoord (regelmatig aanpassen)

  • Beveiligde internetverbinding

  • Gebruikersbeheer (vertrouwelijkheid garanderen): beheer gebruikers, toegangscodes, bepalen rollen en toegang en rechten op basis van de opdracht



SUB-VERWERKERS

De verwerker schakelt volgende sub-verwerkers in:


Naam Sub-verwerkers, adres


Document Metadata

Filed: February 4th, 2022