VERWERKING VAN PERSOONSGEGEVENS
OVEREENKOMST MET BETREKKING TOT DE
VERWERKING VAN PERSOONSGEGEVENS
Art. 1) Inleiding
A.S.T.R.I.D., dat optreedt als verwerkingsverantwoordelijke, en de inschrijvers van de opdracht en hun eventuele onderaannemers, die optreden als verwerker, moeten zich strikt houden aan de Algemene Verordening Gegevensbescherming (Verordening EU 2016/679 van het Europees Parlement en de Raad van 27 april 2016). Elke partij die persoonsgegevens verzamelt en verwerkt in het kader van de voorliggende opdracht, dient de noodzakelijke en redelijke veiligheidsmaatregelen toe te passen met het oog op het waarborgen van de vertrouwelijkheid, de integriteit en de beschikbaarheid van de als verwerkingsverantwoordelijke of verwerker verzamelde en verwerkte gegevens. De persoonsgegevens die in het kader van de voorliggende opdracht worden verzameld, mogen enkel in dit kader worden verwerkt.
De voorliggende overeenkomst, zoals hieronder bepaald, legt de eisen inzake conformiteit met de AVG vast die A.S.T.R.I.D. aan haar opdrachtnemer oplegt.
Art. 2) Definities
Gegevensverwerkings- overeenkomst | De voorliggende gegevensverwerking overeenkomst met betrekking tot, met inbegrip van haar bijlagen. |
Overeenkomst | De voorliggende overeenkomst tot stand gekomen tussen de verwerkingsverantwoordelijke en de verwerker met betrekking tot de commerciële overeenkomst die tussen de voorliggende partijen tot stand is gekomen zoals beschreven in bijlage 1 van de voorliggende overeenkomst. |
Biometrische gegevens | De persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan een eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens. |
Gegevens over de gezondheid | De persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon, waaronder gegevens over verleende gezondheidsdiensten, waarmee informatie over zijn of haar gezondheidstoestand wordt gegeven, met inbegrip van een patiëntnummer, medische diensten, bloedwaarden, enz.). |
Betrokkene(n) | De identificeerbare of geïdentificeerde natuurlijke perso(o)n(en) van wie de persoonsgegevens worden verwerkt. |
Wet tot bescherming van de persoonlijke levenssfeer | De wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (zoals gewijzigd bij de wet van 11 december 1998), samen met het koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. |
WEC | De wet van 13 juni 2005 betreffende de elektronische communicatie. |
Algemene Verordening Gegevensbescherming of | De Verordening 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de |
AVG | verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG. |
Genetische gegevens | Persoonsgegevens die verband houden met de overgeërfde of verworven genetische kenmerken van een natuurlijke persoon die unieke informatie verschaffen over de fysiologie of de gezondheid van die natuurlijke persoon en die met name voortkomen uit een analyse van een biologisch monster van die natuurlijke persoon. |
Justitiële gegevens | Persoonsgegevens in verband met gerechtelijke veroordelingen, beschuldigingen en vervolgingen in verband met strafrechtelijke misdrijven, hangende procedures bij administratieve instanties of rechtbanken, administratieve sancties en veiligheidsmaatregelen. |
Persoonsgegevens | Alle informatie die de verwerker in het kader van de overeenkomst verwerkt voor rekening van de verwerkingsverantwoordelijke en die het mogelijk maakt de betrokkene rechtstreeks of onrechtstreeks te identificeren. |
Schending van persoonsgegevens | Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens leidt. |
Gevoelige gegevens | Persoonsgegevens waaruit de raciale of etnische oorsprong, de politieke meningen, de religieuze of filosofische overtuigingen of het lidmaatschap van een vakbond blijken, alsook gegevens in verband met iemands seksuele gedrag of seksuele geaardheid. |
Bijzondere categorieën van persoonsgegevens | Een of meer van de volgende categorieën persoonsgegevens: gegevens over gezondheid, gevoelige gegevens (met inbegrip van gegevens waaruit de raciale of etnische oorsprong, de politieke meningen, de religieuze of filosofische overtuigingen of het lidmaatschap van een vakbond blijken, gegevens in verband met het seksleven of de seksuele geaardheid van een natuurlijke persoon), genetische gegevens, biometrische gegevens of justitiële gegevens. |
Art. 3) Voorwerp
§ 1. De verwerker zal de persoonsgegevens uitsluitend en altijd in naam en voor rekening van de verwerkingsverantwoordelijke verwerken. De verwerker mag de persoonsgegevens in geen enkele vorm (zelfs niet in de vorm van anonieme of geanonimiseerde persoonsgegevens) en op geen enkele manier voor eigen rekening, noch voor rekening van derden verwerken. De verwerker mag geen controle uitoefenen over het doeleinde van de verwerking van persoonsgegevens, noch mag hij onafhankelijk beslissingen nemen over het gebruik, de opslag of de bekendmaking van de persoonsgegevens, tenzij en voor zover uitdrukkelijk overeengekomen in de gegevensverwerkingsovereenkomst of op instructie van de verwerkingsverantwoordelijke of wanneer de verwerker er te goeder trouw van uitgaat dat een dergelijke bekendmaking redelijkerwijs nodig is om in overeenstemming te zijn met de wet, voorschrift of juridisch verzoek waaraan hij absoluut gevolg dient te geven.
§ 2. De verwerker brengt de verwerkingsverantwoordelijke er onverwijld van op de hoogte, indien hij niet kan voldoen aan de instructies van de verwerkingsverantwoordelijke of de verplichtingen krachtens deze gegevensverwerkingsovereenkomst, en kent het recht toe aan de verwerkingsverantwoordelijke om de bekendmaking en doorgifte van persoonsgegevens op te schorten en/of deze gegevensverwerkingsovereenkomst te beëindigen in overeenstemming met paragraaf 44 van deze gegevensverwerkingsovereenkomst.
§ 3. De verwerkingsverantwoordelijke zal erop toezien dat elke onthulling van persoonsgegevens aan de verwerker betrekking heeft op persoonsgegevens die op wettige wijze verzameld werden, d.w.z. op een wettelijke manier verwerkt werden zoals voorgeschreven in de artikelen 6-10 van de AVG. De verwerkingsverantwoordelijke zal de verwerker vergoeden voor alle verliezen, kosten en aansprakelijkheden van de verwerker die direct of indirect zouden voortvloeien uit het niet naleven van deze verplichting door de verwerkingsverantwoordelijke.
§ 4. Het voorwerp, de duur, de aard en het doel van de verwerking alsook het type van verwerkte persoonsgegevens en de categorieën van betrokkenen worden opgesomd in bijlage 1. Elke wijziging met betrekking tot een van de elementen vermeld in bijlage 1 zal tot een aanpassing van bijlage 1 leiden, zoals gezamenlijk overeengekomen door de partijen. Indien de verwerker zich bewust wordt van het feit dat een van de elementen opgesomd in bijlage 1 gewijzigd zal worden, dient hij de verwerkingsverantwoordelijke hiervan meteen schriftelijk in kennis te stellen.
§ 5. De verwerker verwerkt de persoonsgegevens alleen voor het nakomen van zijn verplichtingen krachtens de overeenkomst, in overeenstemming met de gegevensverwerkingsovereenkomst en de schriftelijke instructies van de verwerkingsverantwoordelijke en zal de verwerking te allen tijde met hedendaagse veiligheidsmaatregelen en steeds conform de minimale organisatorische en technische veiligheidsmaatregelen uitvoeren, zoals uiteengezet in bijlage 2 bij deze gegevensverwerkingsovereenkomst. Elk ander gebruik van de persoonsgegevens door de verwerker, in eender welke vorm (zelfs in de vorm van anonieme of geanonimiseerde persoonsgegevens) of op eender welke manier, is niet toegestaan. De verwerker mag de persoonsgegevens niet bewerken (of laten bewerken) (bijvoorbeeld door ze te kopiëren, af te drukken, door te sturen, te verrijken, aan te passen, enz.) tenzij en voor zover nodig voor de uitvoering van de overeenkomst en de gegevensverwerkingsovereenkomst.
§ 6. Indien de verwerker een of meer categorieën van bijzondere persoonsgegevens in naam en voor rekening van de verwerkingsverantwoordelijke verwerkt, verbindt hij er zich toe om te voldoen aan de aanvullende specifieke verplichtingen van bijlage 3. Bij eventuele tegenstrijdigheden of inconsistenties tussen de bepalingen van deze gegevensverwerkingsovereenkomst en bijlage 3 zullen de bepalingen van bijlage 3 prevaleren. Indien de verwerker geen categorieën van bijzondere persoonsgegevens verwerkt in naam en voor rekening van de verwerkingsverantwoordelijke, dan zijn dit artikel en bijlage 3 niet van toepassing.
§ 7. De partijen zullen elk in hun respectieve hoedanigheid de persoonsgegevens verwerken in overeenstemming met de wet van 13 juni 2005 betreffende de elektronische communicatie (indien van toepassing), de AVG en elke andere toepasselijke regelgeving waaraan de verwerkingsverantwoordelijke en/of de verwerker onderworpen zijn.
§ 8. De verwerker erkent dat hij de voor verwerkers bestemde rechten toegewezen heeft gekregen en onderworpen is aan de verplichtingen die hem krachtens de AVG opgelegd zijn. De verwerker erkent dat de verwerkingsverantwoordelijke de voor verwerkingsverantwoordelijken bestemde rechten geniet en onderworpen is aan de verplichtingen die hem krachtens de AVG opgelegd zijn.
§ 9. De verwerker verbindt er zich toe om de persoonsgegevens in overeenstemming met de inhoud van bijlage 1 te verwerken en dat in het bijzonder met betrekking tot de locatie van verwerking.
Art. 4) Vertrouwelijkheid
§ 10. Ongeacht het type van persoonsgegevens dat door de verwerkingsverantwoordelijke aan de verwerker toevertrouwd wordt, zal de verwerker het bestaan van de verwerking in naam en voor rekening van de verwerkingsverantwoordelijke als strikt vertrouwelijk behandelen. Deze vertrouwelijkheidsverplichting is nog strikter van toepassing op de verwerking van bijzondere persoonsgegevenscategorieën.
De verwerker zal de persoonsgegevens altijd uitsluitend in naam en voor rekening van de klant verwerken met het oog op de uitvoering van de overeenkomst en zal dit in geen geval voor eigen rekening of voor rekening van derden doen.
§ 12. De verwerker mag derden wel toegang verlenen tot de persoonsgegevens:
(i) Indien de verwerkingsverantwoordelijke zijn voorafgaande en uitdrukkelijke schriftelijke goedkeuring hiervoor gegeven heeft – de verwerkingsverantwoordelijke stemt er hierbij mee in dat er toegang tot de persoonsgegevens verleend mag worden aan derden die in bijlage 1 opgesomd worden. Indien de verwerkingsverantwoordelijke ermee instemt om in de loop van de overeenkomst een dergelijke toegang te verlenen aan nieuwe derden, dan zal bijlage 1 dienovereenkomstig in onderling overleg aangepast worden.
(ii) Indien de verwerker verplicht is om een dergelijke toegang te verlenen krachtens een dwingende Belgische of Europese wettelijke bepaling. In dat geval zal de verwerker – tenzij een dergelijke kennisgeving bij wet of om dwingende redenen van algemeen belang verboden zou zijn – de verwerkingsverantwoordelijke op voorhand en schriftelijk informeren over het verzoek om toegang tot persoonsgegevens, de relevante dwingende bepaling en het antwoord dat de verwerker van plan is te geven op dit verzoek.
§ 13. Behalve in de gevallen vermeld in paragraaf § 12 (ii) verbindt de verwerker er zich toe om erop toe te zien dat, wanneer hij derden toegang verleent tot de persoonsgegevens, elke derde onderworpen is aan contractuele verplichtingen die minstens gelijkwaardig zijn aan die waaraan de verwerker zelf onderworpen is ten opzichte van de verwerkingsverantwoordelijke krachtens deze gegevensverwerkingsovereenkomst. De verwerker waarborgt dat elke derde aan wie hij toegang verleent tot de persoonsgegevens, deze verplichtingen zal naleven. De verwerker bezorgt de verwerkingsverantwoordelijke op diens verzoek en onverwijld een kopie van de subverwerkingsovereenkomst(en).
§ 14. De verwerker mag zijn werknemers toegang tot de persoonsgegevens verlenen op basis van het 'need to know'-principe, d.w.z. voor zover de werknemers in kwestie een dergelijke toegang tot de persoonsgegevens nodig hebben om de verplichtingen van de verwerker krachtens de overeenkomst en de gegevensverwerkingsovereenkomst naar behoren te kunnen nakomen. De verwerker zal de desbetreffende werknemers schriftelijk informeren over het vertrouwelijke karakter van de persoonsgegevens samen met het wettelijke en contractuele kader van de persoonsgegevens en zal de werknemers in kwestie een contractuele vertrouwelijkheidsverplichting opleggen. De verwerker zal de werknemers die toegang kunnen hebben tot de persoonsgegevens om de gegevensverwerking te kunnen verrichten, eenzelfde contractuele vertrouwelijkheidsverplichting opleggen als vermeld in het onderhavige artikel.
§ 15. De verwerker zal verantwoordelijk zijn voor de naleving van de vertrouwelijkheidsverplichting door iedereen (d.w.z. werknemers en onderaannemers) die weet heeft van de persoonsgegevens en/of de verwerking ervan. Deze vertrouwelijkheidsverplichting blijft ook nog 5 jaar na afloop van de voorliggende gegevensverwerkingsovereenkomst van kracht.
§ 16. De verwerker zal de vertrouwelijkheid van de te verwerken persoonsgegevens waarborgen en zal de nodige organisatorische en technische veiligheidsmaatregelen treffen, zoals beschreven in bijlage 2 bij deze gegevensverwerkingsovereenkomst. Deze organisatorische en technische maatregelen zullen voldoen aan artikel 32 van de AVG.
Art. 5) Verplichting tot het verlenen van bijstand
§ 17. De verwerker verbindt er zich toe om de verwerkingsverantwoordelijke te helpen met het nakomen van zijn wettelijke verplichtingen krachtens de wet van 13 juni 2005 betreffende de elektronische communicatie (indien van toepassing) en de AVG. In dit verband zal de verwerker binnen een redelijke termijn reageren op elk verzoek om bijstand van de verwerkingsverantwoordelijke. Indien de verwerker van mening is dat een verzoek of instructie van de verwerkingsverantwoordelijke indruist tegen de wet van 13 juni 2005 betreffende de elektronische communicatie (indien van toepassing) of de AVG, zal hij de verwerkingsverantwoordelijke daar onmiddellijk van in kennis stellen. Deze bijstand die de
verwerker aan de verwerkingsverantwoordelijke verleent in het kader van deze paragraaf, kan het voorwerp vormen van een redelijke vergoeding die vooraf tussen de partijen wordt overeengekomen.
§ 18. Wanneer de verwerkingsverantwoordelijke hierom vraagt, zal de verwerker de verwerkingsverantwoordelijke informeren over de omstandigheden van zijn verwerking van persoonsgegevens en zal hij toegang verlenen tot de verwerkte persoonsgegevens alsook tot alle vereiste documenten, gebouwen, systemen, software, hardware, databanken, installaties en infrastructuur om de verwerkingsverantwoordelijke in staat te stellen de naleving van de wet van 13 juni 2005 betreffende de elektronische communicatie (indien van toepassing) en de AVG na te gaan.
§ 19. Wanneer de verwerkingsverantwoordelijke hierom vraagt, zal de verwerker instemmen met en zijn medewerking verlenen aan audits en inspecties van zijn verwerking van persoonsgegevens, zodat de verwerkingsverantwoordelijke kan nagaan of de verwerker zijn verplichtingen krachtens deze gegevensverwerkingsovereenkomst en de geldende gegevensbeschermingswetten (AVG en nationale wetgeving) nakomt. De verwerkingsverantwoordelijke kan deze audits en inspecties zelf uitvoeren of kan hiervoor een derde inschakelen. Als de verwerkingsverantwoordelijke een beroep doet op een derde, zal deze derde geen directe concurrent van de verwerker mogen zijn en zal de derde in kwestie ermee moeten instemmen om gebonden te zijn door vertrouwelijkheidsverplichtingen die niet minder bescherming zullen bieden dan degene welke vermeld worden bij artikel 4 van de voorliggende gegevensverwerkingsovereenkomst.
§ 20. De verwerker zal elk verzoek of elke vraag van een betrokkene in verband met (de verwerking van) persoonsgegevens meteen aan de verwerkingsverantwoordelijke bezorgen. De verwerkingsverantwoordelijke zal beslissen over het antwoord dat er ter zake gegeven dient te worden. Op verzoek van de verwerkingsverantwoordelijke zal de verwerker de verwerkingsverantwoordelijke helpen met het beantwoorden van dergelijke verzoeken van betrokkenen, voor zover redelijkerwijs mogelijk voor de verwerker. Indien en voor zover dit binnen zijn technische capaciteiten en bevoegdheden krachtens de gegevensverwerkingsovereenkomst valt, zal de verwerker met name binnen 5 werkdagen voldoen aan elk verzoek van de verwerkingsverantwoordelijke met betrekking tot het antwoord op of de tegemoetkoming aan de verzoeken van betrokkenen. De bijstand die de verwerker aan de verwerkingsverantwoordelijke verleent in het kader van deze paragraaf, kan het voorwerp vormen van een redelijke vergoeding die vooraf tussen de partijen wordt overeengekomen.
§ 21. Voor zover de verwerker zelf persoonsgegevens aan derden meedeelde, moet hij onverwijld elke verandering, schrapping of beperking waarvan hij zich bewust zou worden met betrekking tot deze persoonsgegevens, aan de derden in kwestie meedelen.
§ 22. De verwerker verbindt er zich toe om de verwerkingsverantwoordelijke bij te staan bij het bepalen van de eventuele noodzakelijkheid van een gegevensbeschermingseffectbeoordeling voor de verwerking van persoonsgegevens door de verwerkingsverantwoordelijke. Dit houdt bijvoorbeeld in dat, als de verwerking van de verwerker het gebruik van nieuwe technologieën vereist of als de verwerker het aannemelijk acht dat de gebruikte technologie als 'nieuw' bestempeld zou kunnen worden en dat dergelijke nieuwe technologie wel eens tot een hoog risico voor de rechten en vrijheden van natuurlijke personen zou kunnen leiden, de verwerker de verwerkingsverantwoordelijke dienovereenkomstig verwittigt alvorens te beginnen met de verwerking van de persoonsgegevens.
§ 23. Indien de verwerkingsverantwoordelijke van mening is dat er een gegevensbeschermingseffectbeoordeling uitgevoerd moet worden, verbindt de verwerker er zich toe om de verwerkingsverantwoordelijke op diens schriftelijk verzoek bij te staan bij de uitvoering van deze beoordeling. In dat geval bezorgt de verwerker de verwerkingsverantwoordelijke minstens de informatie vermeld in bijlage 3 en zal hij pas met de verwerking beginnen na ontvangst van de (evaluatie van de) gegevensbeschermingseffectbeoordeling en de schriftelijke instructies van de verwerkingsverantwoordelijke ter zake. De bijstand die de verwerker aan de verwerkingsverantwoordelijke verleent in het kader van deze paragraaf, kan het voorwerp vormen van een redelijke vergoeding die vooraf tussen de partijen wordt overeengekomen.
§ 24. Indien een betrokkene zijn/haar recht op overdraagbaarheid van gegevens wenst uit te oefenen met betrekking tot persoonsgegevens die door de verwerker in naam en voor rekening van de verwerkingsverantwoordelijke verwerkt worden, moet de verwerker de relevante persoonsgegevens meedelen in een gestructureerde, standaard en machineleesbare vorm aan de
verwerkingsverantwoordelijke of, op verzoek van de verwerkingsverantwoordelijke, aan de betrokkene. De bijstand die de verwerker aan de verwerkingsverantwoordelijke verleent in het kader van deze paragraaf, kan het voorwerp vormen van een redelijke vergoeding die vooraf tussen de partijen wordt overeengekomen.
Art. 6) Inbreuk in verband met persoonsgegevens
§ 25. Indien er een inbreuk in verband met persoonsgegevens plaatsvindt of plaatsgevonden heeft, moet de verwerker, zodra hij zich bewust is geworden van de inbreuk, de juridische afdeling van de verwerkingsverantwoordelijke per telefoon of e-mail waarschuwen.
§ 26. De verwerker bezorgt de verwerkingsverantwoordelijke bij de melding van het incident – of, als dat niet haalbaar is, zo snel mogelijk na de melding van de inbreuk in verband met persoonsgegevens – de volgende informatie:
(i) De aard van de inbreuk in verband met persoonsgegevens;
(ii) Indien mogelijk, de categorieën van betrokkenen;
(iii) Het geraamde aantal betrokkenen;
(iv) De categorieën persoonsgegevens;
(v) De geraamde hoeveelheid persoonsgegevens;
(vi) De naam en de contactgegevens van de functionaris voor gegevensbescherming, als de verwerker een dergelijke functionaris heeft aangesteld, of, als er geen dergelijke functionaris voor gegevensbescherming is, een ander contactpunt waar nadere informatie kan worden verkregen;
(vii) De waarschijnlijke gevolgen en risico’s, met inbegrip van de waarschijnlijke gevolgen en risico’s
voor de betrokkenen;
(viii) De getroffen maatregelen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen ervan.
§ 27. De verwerker zal de verwerkingsverantwoordelijke zoveel mogelijk bijstaan bij het rapporteren van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit en/of de betrokkene(n). De verwerker moet in ieder geval op prioritaire basis reageren op alle vragen/verzoeken van de verwerkingsverantwoordelijke met betrekking tot de inbreuk in verband met persoonsgegevens.
Art. 7) Organisatorische en technische veiligheidsmaatregelen
§ 28. De verwerker verbindt er zich toe om de gepaste technische en organisatorische veiligheidsmaatregelen te treffen en na te leven, die nodig zijn ter bescherming van de persoonsgegevens. De verwerker moet deze maatregelen beschrijven in een veiligheidsbeleid.
§ 29. Voor het bepalen van de gepaste technische en organisatorische veiligheidsmaatregelen moet de verwerker rekening houden met de door de verwerkingsverantwoordelijke bezorgde informatie over de verwerkingsactiviteiten die namens de verwerkingsverantwoordelijke verricht worden:
(i) De stand van de kennis,
(ii) De met deze maatregelen gepaard gaande uitvoeringskosten,
(iii) De aard, de omvang, de context en de doeleinden van de verwerking,
(iv) De risico's voor de rechten en vrijheden van de betrokkenen, in het bijzonder bij accidentele of onwettige vernietiging, verlies, wijziging, ongeoorloofde bekendmaking van of ongeoorloofde toegang tot bezorgde, opgeslagen of op een andere manier verwerkte persoonsgegevens, en
(v) De waarschijnlijkheid dat de verwerking een impact zal hebben op de rechten en vrijheden van de betrokkenen.
Indien de verwerker niet voldoende gedetailleerde informatie krijgt van de verwerkingsverantwoordelijke, zal de verwerker de nodige technische en organisatorische veiligheidsmaatregelen niet kunnen bepalen.
§ 30. De verwerker moet deze maatregelen regelmatig actualiseren in overeenstemming met de criteria waarnaar verwezen wordt in paragraaf § 29 en rekening houdend met elk incident.
§ 31. De verwerker moet de minimale technische en organisatorische veiligheidsmaatregelen implementeren zoals bepaald door de toezichthoudende autoriteit (xxxxx://xxx.xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx.xx) en de veiligheidsmaatregelen zoals opgesomd in bijlage 2.
Art. 8) Aansprakelijkheid
§ 33. De verwerker moet de verwerkingsverantwoordelijke vergoeden voor alle schade veroorzaakt door derden (d.w.z. subverwerkers) die door de verwerker aangesteld werden.
§ 34. De verwerker moet een verzekering afsluiten die alle schade zal dekken zoals gedefinieerd in paragraaf
§ 32 bij niet-naleving van de AVG en niet-naleving van de bepalingen van de voorliggende gegevensbeschermingsovereenkomst, met inbegrip van schade als gevolg van het plaatsvinden van een of meer inbreuken in verband met persoonsgegevens.
§ 35. De totale aansprakelijkheid van de verwerker zal in ieder geval niet groter kunnen zijn dan het totale bedrag aan kosten dat door de verwerkingsverantwoordelijke betaald werd zoals bepaald bij artikel 12 van de voorliggende gegevensverwerkingsovereenkomst noch dan het door de verzekering gedekte bedrag.
Art. 9) Overmacht
§ 36. De volgende omstandigheden worden aanvaard als gevallen van overmacht, mochten ze plaatsvinden na de sluiting van deze gegevensverwerkingsovereenkomst en de uitvoering ervan verhinderen: arbeidsgeschillen en alle overige omstandigheden, zoals brand, mobilisatie, beslag, embargo, verbod op overdracht van deviezen, opstand, een tekort aan transportmiddelen, algemene schaarste van grondstoffen, beperkingen inzake energieverbruik, als deze omstandigheden zich buiten de wil van de partijen om voordoen.
§ 37. De partij die zich op de bovenstaande omstandigheden beroept, moet de andere partij onverwijld schriftelijk op de hoogte brengen van zowel het begin als het einde van de omstandigheden van overmacht.
Als een van deze omstandigheden zich voordoet, ontslaat dit zowel de verwerkingsverantwoordelijke als de verwerker van elke aansprakelijkheid.
Art. 10) Doorgifte van persoonsgegevens
§ 38. De verwerker mag persoonsgegevens niet doorgeven aan een land buiten de Europese Economische Ruimte (EER)1, tenzij dat land of de respectieve onderneming(en) (met inbegrip van aan de verwerker
1 De volgende landen maken deel uit van de Europese Economische Ruimte (EER): Duitsland, Oostenrijk, België, Bulgarije, Xxxxxx, Xxxxxxxxxx, Xxxxxx, Xxxxxxx, Xxxxxxx, Xxxxxxxxx, Xxxxxxxxxxx, Xxxxxxxxx, Xxxxxxx, Xxxxxx, IJsland, Letland,
gelinkte bedrijven) waaraan de persoonsgegevens doorgegeven zou(den) worden, een gepast niveau van bescherming voor persoonsgegevens garandeert/garanderen en de verwerkingsverantwoordelijke vooraf schriftelijk heeft ingestemd met de doorgifte. De verwerkingsverantwoordelijke stemt ermee in om de gegevens door te geven aan de landen die in bijlage 1 opgesomd worden.
§ 39. De doorgifte naar aan een land buiten de Europese Economische Ruimte is toegestaan zonder de schriftelijke toestemming van de verwerkingsverantwoordelijke, als deze doorgifte nodig blijkt op basis van een Europese of Belgische wettelijke bepaling. In dat geval zal de verwerker de verwerkingsverantwoordelijke op voorhand schriftelijk op de hoogte brengen van de wettelijke bepaling op grond waarvan de verwerker verplicht is om de persoonsgegevens door te geven, tenzij de relevante wetgeving een dergelijke kennisgeving omwille van redenen van algemeen belang verbiedt.
§ 40. De verwerker garandeert dat het land of de onderneming waaraan de persoonsgegevens doorgegeven worden, voor een gepast niveau van bescherming voor de persoonsgegevens zorgt.
§ 41. In het geval van een doorgifte van persoonsgegevens door de verwerker aan een land buiten de Europese Economische Ruimte wordt het gepaste niveau van bescherming gewaarborgd door de ondertekening van de modelcontractbepalingen van de Europese Commissie (Besluit van de Commissie van 5 februari 2010 betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens aan in derde landen gevestigde verwerkers krachtens Richtlijn 95/46/EG van het Europees Parlement en de Raad). De partijen erkennen het gebrek aan modelcontractbepalingen van de Europese Commissie voor doorgiften van 'verwerker aan subverwerker'. Een dergelijke specifieke doorgifte kan geregulariseerd worden, voor zover de verwerker garandeert dat de subverwerker, naar keuze van de verwerkingsverantwoordelijke, de modelcontractbepalingen van de Europese Commissie 'verwerkingsverantwoordelijke-verwerker' rechtstreeks met de verwerkingsverantwoordelijke of de modelcontractbepalingen van de Europese Commissie 'verwerkingsverantwoordelijke-verwerker' met de verwerker namens de verwerkingsverantwoordelijke zal sluiten. In beide gevallen zal de verwerker de verwerkingsverantwoordelijke vergoeden voor alle schade en claims die uit de niet-naleving door de subverwerker van de modelcontractbepalingen van de Europese Commissie zouden voortvloeien.
Art. 11) Duur en beëindiging
§ 42. De voorliggende gegevensverwerkingsovereenkomst zal van kracht worden op de datum van haar ondertekening.
§ 43. De voorliggende gegevensbeschermingsovereenkomst zal van kracht blijven voor de duur van de overeenkomst. Ze zal automatisch eindigen wanneer de overeenkomst eindigt.
§ 44. Behalve in geval van niet-uitvoering van een van de bepalingen van de voorliggende gegevensverwerkingsovereenkomst door een partij, waarbij de gegevensverwerkingsovereenkomst dan onmiddellijk door de andere partij kan worden opgezegd ten nadele van de in gebreke blijvende partij, kan de voorliggende gegevensverwerkingsovereenkomst ook te allen tijde worden opgezegd met inachtneming van een opzeggingstermijn van twee maanden door middel van een aangetekende brief.
§ 45. In geval van beëindiging van de voorliggende gegevensverwerkingsovereenkomst moet de verwerker alle persoonsgegevens onmiddellijk aan de verwerkingsverantwoordelijke terugbezorgen in een gestructureerd, gangbaar en (machine)leesbaar formaat. Hij mag er geen enkele fysieke of elektronische kopie van behouden.
§ 46. Wanneer de voorliggende gegevensverwerkingsovereenkomst afloopt en voor zover de voorliggende overeenkomst niet werd vernieuwd, moet de verwerker alle persoonsgegevens onmiddellijk aan de verwerkingsverantwoordelijke terugbezorgen in een gestructureerd, gangbaar en (machine)leesbaar formaat. Hij mag er geen enkele fysieke of elektronische kopie van behouden.
§ 47. De verwerker moet, naar keuze van de verwerkingsverantwoordelijke, alle persoonsgegevens wissen aan het einde van de verstrekking van diensten op het vlak van gegevensverwerking en bestaande
Xxxxxxxxxxxxx, Xxxxxxxx, Xxxxxxxxx, Xxxxx, Xxxxxxxxx, Xxxxxxxxx, Xxxxx, Xxxxxxxx, Tsjechische Republiek, Roemenië, Verenigd Koninkrijk, Slovenië, Slovakije en Zweden.
kopieën verwijderen, tenzij de bewaring van de persoonsgegevens voorgeschreven wordt door wetgeving van de EU en/of Belgische wetgeving / wetgeving van een lidstaat van de EU.
Art. 12) Toepasselijk recht en bevoegde rechtbanken
§ 48. De voorliggende gegevensverwerkingsovereenkomst wordt uitsluitend beheerst door het Belgische recht.
§ 49. Alle geschillen die uit de gegevensverwerkingsovereenkomst voortvloeien, zullen uitsluitend beslecht worden door de rechtbanken van Brussel.
Art. 13) Varia
§ 50. De bepalingen van de gegevensverwerkingsovereenkomst zijn scheidbaar. Indien een of meer bepalingen die geen invloed hebben op de essentie van de overeenkomst, geheel of gedeeltelijk ongeldig, nietig of onafdwingbaar verklaard worden, dan zal dit geen invloed hebben op de geldigheid en afdwingbaarheid van de overige bepalingen van deze overeenkomst noch van de hele overeenkomst. De voorliggende overeenkomst zal van kracht blijven tussen de partijen alsof de ongeldige, nietige of onafdwingbare bepaling nooit bestaan heeft.
§ 51. In voormeld geval verbinden de partijen zich ertoe om de voorliggende overeenkomst te goeder trouw te heronderhandelen om de (geheel of gedeeltelijk) nietige, ongeldige of onafdwingbare bepaling aan te passen of te vervangen door een bepaling die zo dicht mogelijk in de buurt komt van het doel dat met de ongeldige, nietige of onafdwingbare bepaling beoogd werd.
§ 52. De wijzigingen van en aanvullingen op de voorliggende overeenkomst zijn alleen geldig als ze uitdrukkelijk schriftelijk overeengekomen werden tussen de partijen.
§ 53. Indien een bepaling van de overeenkomst onverenigbaar of in strijd met de bepalingen van de voorliggende overeenkomst zijn, dan zal de gegevensverwerkingsovereenkomst prevaleren.
§ 54. Indien de persoonsgegevens of de relatie tussen de partijen het voorwerp uitmaken van nieuwe (Europese) wetgeving of jurisprudentie, dan stemmen de partijen ermee in om de voorliggende overeenkomst te goeder trouw te heronderhandelen en om de overeenkomst af te stemmen op deze nieuwe (Europese) wetgeving of jurisprudentie.
§ 55. Indien de verwerker onderworpen is aan een gedragscode of gecertificeerd is met betrekking tot de verwerking van persoonsgegevens, verbindt hij er zich toe om deze gedragscode of deze certificering na te leven en aan te houden gedurende de hele looptijd van de voorliggende overeenkomst.
§ 56. Het nakomen door elke partij van haar verplichtingen krachtens de voorliggende overeenkomst is gratis en kan niet van de betaling van een vergoeding afhangen.
Opgesteld in twee originele exemplaren waarvan elke partij verklaart een origineel en ondertekend exemplaar te hebben ontvangen te Lieu de la signature, op
De verwerkingsverantwoordelijke De verwerker
Annexe 1) Overzicht van de overeenkomst en van de verwerkingsactiviteiten
A. Naam en datum van de overeenkomst | naam en datum van de overeenkomst invullen |
B. Voorwerp van de overeenkomst | het voorwerp van de overeenkomst invullen |
C. Duur van de verwerking | de duur van de verwerking door de verwerker invullen. In principe stemt de duur overeen met de duur van de onderliggende commerciële overeenkomst |
D. Aard en doeleinden van de verwerking | de aard en doeleinden van de verwerking invullen |
E. Type van verwerkte persoonsgegevens | vul het type van persoonsgegevens in die verwerkt worden om de overeenkomst uit te voeren |
F. Types van bijzondere categorieën persoonsgegevens | vul het type van bijzondere persoonsgegevens in die verwerkt worden om de overeenkomst uit te voeren |
G. Categorieën van betrokkenen | vul de categorieën van betrokkenen in |
H. Locatie(s) waar er persoonsgegevens verwerkt worden | vermeld alle plaatsen waar er persoonsgegevens verwerkt worden |
I. Derden | Geen enkele derde heeft toegang tot de persoonsgegevens, met uitzondering van: • Click or tap here to enter text. |
J. Derde landen waarnaar er persoonsgegevens doorgegeven worden | Persoonsgegevens zullen niet aan derde landen doorgegeven worden, met uitzondering van: • Click or tap here to enter text. |
Annexe 2) Technische en organisatorische veiligheidsmaatregelen
De verwerker zal de volgende veiligheidsmaatregelen ter bescherming van de persoonsgegevens toepassen en voorzien:
Organisatorische maatregelen | |
- Functionaris voor gegevensbescherming | Verplicht |
- Veiligheids- en risicoplan | Verplicht |
- Veiligheidsbeleid | Verplicht |
- Bewustmaking van het personeel via informatieverstrekking en opleiding | Verplicht |
- Procedure voor het melden van fysieke/technische incidenten | Verplicht |
- Informatieclassificatie | Verplicht |
- Disciplinaire gevolgen bij niet-naleving van een van de maatregelen | Verplicht |
- Herstelplan, rampenplan of noodplan in geval van o.a. fysieke/technische incidenten | Verplicht |
- Continuïteitsplan | Verplicht |
- Plan dat ervoor zorgt dat de doeltreffendheid van de organisatorische / technische maatregelen regelmatig gecontroleerd/geëvalueerd en beoordeeld wordt | Verplicht |
- Maandelijkse controle van de geschiktheid van de verwerkingssystemen en diensten | Verplicht |
Technische maatregelen | |
- Back-upsysteem | Verplicht |
- Maatregelen bij brand, inbraak of waterschade of fysieke/technische incidenten | Verplicht |
- Toegangscontrole (fysiek en logisch) | Verplicht |
- Authentificatiesysteem | Verplicht |
- Beleid inzake wachtwoorden | Verplicht |
- Beleid inzake gebruikersnamen | Verplicht |
- Loggingsysteem, toegangsdetectie en -analyse | Verplicht |
- Patching | Verplicht |
- Antivirus | Verplicht |
- Firewall | Verplicht |
- Netwerkbeveiliging | Verplicht |
- Bewaking, onderzoek en onderhoud van de systemen | Verplicht |
- Encryptie van de persoonsgegevens | Verplicht |
- Pseudonimisering van de persoonsgegevens | Facultatief |
Annexe 3) Bijzondere categorieën persoonsgegevens
Indien de verwerker een of meer categorieën van bijzondere persoonsgegevens namens de verwerkingsverantwoordelijke verwerkt, verbindt hij er zich toe om de volgende extra verplichtingen na te leven. Deze bijlage 3 is niet van toepassing als de verwerker geen bijzondere categorieën persoonsgegevens verwerkt.
§ 1. Lijst van de personen die toegang hebben tot de bijzondere categorieën persoonsgegevens
De verwerker moet een lijst van de categorieën van personen bijhouden, die toegang hebben tot de bijzondere categorieën persoonsgegevens. De hoedanigheid van deze (categorieën van) personen moet eveneens in de lijst opgenomen worden.
Deze lijst moet ter beschikking gesteld worden van de verwerkingsverantwoordelijke en de toezichthoudende autoriteit.
§ 2. Gegevensbeschermingseffectbeoordeling
Indien de verwerker verzocht wordt om op grote schaal bijzondere persoonsgegevenscategorieën te verwerken namens de verwerkingsverantwoordelijke, mag de verwerker pas met de verwerking beginnen, nadat er een gegevensbeschermingseffectbeoordeling werd uitgevoerd door de verwerkingsverantwoordelijke. In dat geval zal de verwerker de verwerkingsverantwoordelijke bijstaan door het verstrekken van de in bijlage 4 vermelde informatie aan de verwerkingsverantwoordelijke, zodat de verwerkingsverantwoordelijke een gegevensbeschermingseffectbeoordeling kan verrichten.
§ 3. Technische en organisatorische maatregelen
Gezien de gevoeligheid van de bijzondere persoonsgegevenscategorieën zoals vermeld in bijlage 1, verbindt de verwerker zich ertoe om de technische en organisatorische maatregelen te implementeren zoals bepaald en opgesomd in bijlage 2.
Annexe 4) Gegevensbeschermingseffectbeoordeling
Indien er een gegevensbeschermingseffectbeoordeling uitgevoerd moet worden, staat de verwerker de verwerkingsverantwoordelijke waar nodig en op verzoek bij. De verwerker bezorgt de verwerkingsverantwoordelijke de volgende informatie zo snel mogelijk en voor zover de verwerkingsverantwoordelijke de verwerker voldoende informatie heeft bezorgd om de beoordeling grondig te kunnen verrichten en rekening houdend met het feit dat de verwerker de persoonsgegevens verwerkt namens en op instructie van de verwerkingsverantwoordelijke:
(i) een systematische beschrijving van de beoogde verwerkingen;
(ii) een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot de in de overeenkomst opgenomen doeleinden;
(iii) een beoordeling van de risico's voor de rechten en vrijheden van betrokkenen;
(iv) de beoogde maatregelen om de risico's aan te pakken, waaronder waarborgen, veiligheidsmaatregelen en mechanismen om de bescherming van persoonsgegevens te garanderen en om aan te tonen dat aan de Algemene Verordening Gegevensbescherming is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van de betrokkene(n) en andere betrokken personen.