PROTOCOL VOOR DE ELEKTRONISCHE MEDEDELING VAN PERSOONSGEGEVENS VAN HET VLAAMS ENERGIE- EN KLIMAATAGENTSCHAP NAAR FLUVIUS in het kader van de EPC-labelpremie
PROTOCOL VOOR DE ELEKTRONISCHE MEDEDELING VAN PERSOONSGEGEVENS VAN HET VLAAMS ENERGIE- EN KLIMAATAGENTSCHAP NAAR FLUVIUS
in het kader van de EPC-labelpremie
Dit protocol wordt gesloten conform artikel 8, §1, van het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer.
TUSSEN
VLAAMS GEWEST, vertegenwoordigd door de Vlaamse Regering, bij delegatie, in de persoon van de leidend ambtenaar van het intern verzelfstandigd agentschap zonder rechtspersoonlijkheid HET VLAAMS ENERGIE- EN KLIMAATAGENTSCHAP.
Ingeschreven in het KBO met nummer 0316.380.841 waarvan de administratieve zetel zich bevindt te Xxxxxx Xxxxxx XX xxxx 00, 0000 Xxxxxxx.
Hierna: “het VEKA”
EN
FLUVIUS SYSTEM OPERATOR CVBA.
Ingeschreven in het KBO met nummer 0477.445.084 waarvan de administratieve zetel zich bevindt te Xxxxxxxxxxxxxxxxx 000, 0000 Xxxxx.
Hierna: “Fluvius”
Het VEKA en Fluvius worden hieronder ook wel afzonderlijk aangeduid als een “partij” of gezamenlijk als de “partijen”;
NA TE HEBBEN UITEENGEZET
A. Het VEKA is een intern verzelfstandigd agentschap zonder rechtspersoonlijkheid binnen het beleidsdomein Omgeving en geeft uitvoering aan een duurzaam energiebeleid. Conform het bepaalde in artikel 2.1.3 van het Besluit van de Vlaamse Regering houdende algemene bepalingen over het energiebeleid van 19 november 2010 (hierna: “het Energiebesluit”) bevordert het VEKA
o.m. het rationeel energieverbruik en beheert het daartoe bestemde middelen en fondsen.
In dat kader houdt het VEKA een energieprestatiecertificatendatabank bij. In deze databank worden gegevens over energieprestatiecertificaten (EPC) bijgehouden.
B. FLUVIUS is een Vlaamse distributienetbeheerder met een openbare dienstverplichting ter stimulering van het rationeel energiegebruik wat onder andere betrekking heeft op de toekenning van premies voor het grondig energetisch renoveren van een woning of wooneenheid.
C. C1. In de Vlaamse Klimaatstrategie 2050 is het streefdoel opgenomen om de broeikasgasemissies van de niet-ETS sectoren te reduceren met 85% tegen 2050 (ten opzichte van 2005), met de
ambitie om te evolueren naar volledige klimaatneutraliteit. Voor de sector gebouwen wordt ernaar gestreefd om de emissies van het Vlaamse gebouwenpark te reduceren tot 2,3 Mt CO2eq. tegen 2050. In dit kader moeten de bestaande woongebouwen uiterlijk in 2050 een vergelijkbaar energieprestatieniveau halen als nieuwbouwwoningen met vergunningsaanvraag in 2015. Deze langetermijndoelstelling betekent dat tegen 2050 het gemiddelde EPC-kengetal van het volledige woningenpark wordt verlaagd met 75%. Op de gehanteerde EPC-schalen met energielabels (A tot F), komt dit overeen met het label A (EPC-kengetal 100). Deze doelstelling wordt nog verder gedifferentieerd naar woningtypologie. Om dit te verwezenlijken legt de strategie een sterk accent op grondige renovaties op natuurlijke opportuniteitsmomenten, zoals bijvoorbeeld bij transactiemomenten (verkoop, vererving). De benutting van het potentieel van deze sleutelmomenten draagt in hoge mate bij tot de globale strategische doelstelling om tussen vandaag en 2050 de beoogde renovatiegraad te bereiken. Ook het verhogen van de renovatiegraad buiten deze sleutelmomenten is een permanent aandachtspunt.
In dat opzicht werd de EPC-labelpremie ingevoerd. Artikel 6.4.1/1/4 van het Energiebesluit van 19 november 2010, ingevoegd bij de wijziging van het Energiebesluit van 18 september 2020, stelt dat de elektriciteitsdistributienetbeheerder vanaf 2021 aan investeerders een premie geeft voor de grondige energetische renovatie van een woning of een wooneenheid.
Om in aanmerking te komen voor de premie, moet de investeerder bij de activatie van de premie aan de elektriciteitsdistributienetbeheerder een geldig energieprestatiecertificaat kunnen voorleggen dat niet ouder is dan 2019 waaruit blijkt dat de woning energielabel E of F had, of de wooneenheid een energielabel D, E of F had.
Binnen de vijf jaar na de datum van het energieprestatiecertificaat beschikt de investeerder ook over een nieuw geldig energieprestatiecertificaat. Voor energieprestatiecertificaten, vermeld in het derde lid, opgemaakt in 2019 of 2020 begint deze termijn te lopen vanaf 1 januari 2021.
Uit dit nieuwe energieprestatiecertificaat blijkt minstens de volgende energetische verbetering: 1° voor een wooneenheid een energieprestatiecertificaat met minstens label B;
2° voor een woning een energieprestatiecertificaat met minstens label C.
Om de geldigheid van de verkregen certificaten na te gaan, dient de elektriciteitsdistributienetbeheerder toegang te krijgen tot EPC-gegevens bij de authentieke bron, zijnde het VEKA. In dat opzicht wordt dit protocol tot elektronische mededeling van EPC-gegevens tussen het VEKA en Fluvius afgesloten.
C2. Opdat de elektriciteitsdistributienetbeheerders de aanvraag tot premie kunnen controleren, zullen zij permanent toegang krijgen tot de gegevens, zoals vastgesteld in artikel 3 van dit protocol. De persoonsgegevens zijn afkomstig uit de energieprestatiecertificatendatabank. De gegevensuitwisseling verloopt via een webservice.
C3. De gegevensstroom verloopt niet via een dienstenintegrator.
D. De partijen wensen overeenkomstig artikel 8, §1, van het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer een protocol te sluiten met betrekking tot de elektronische mededeling van persoonsgegevens. Dat protocol wordt bekendgemaakt op de website van beide partijen.
E. De functionaris voor gegevensbescherming van het VEKA heeft op 5 oktober 2021 advies met betrekking tot een ontwerp van dit protocol gegeven.
F. De functionaris voor gegevensbescherming van Xxxxxxx heeft op 16/03/22 advies met betrekking tot een ontwerp van dit protocol gegeven.
WORDT OVEREENGEKOMEN WAT VOLGT:
Artikel 1: Onderwerp
In dit protocol worden de voorwaarden en modaliteiten van de elektronische mededeling van de persoonsgegevens zoals omschreven in artikel 3 door het VEKA aan Xxxxxxx uiteengezet.
Artikel 2: Rechtvaardigingsgronden van zowel de mededeling als de inzameling van de persoonsgegevens
Een verwerking van persoonsgegevens moet rechtmatig zijn conform artikel 6 van de AVG. De rechtvaardiging voor de beoogde gegevensverwerking door het VEKA en Fluvius is in casu te vinden in artikel 6 lid 1, c) van de AVG: ‘de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting’.
Zoals vereist in artikel 6 lid 3 van de AVG, is de verwerkingsgrond in regelgeving verankerd:
1. De doeleinden waarvoor het VEKA de opgevraagde gegevens oorspronkelijk heeft verzameld in het kader van de wettelijke verplichtingen zoals opgelegd door:
• Energiedecreet van 8 mei 2009:
- Artikel 11.2.1: dit artikel bepaalt dat het EPC referentiewaarden bevat op basis waarvan de energieprestaties van het gebouw kunnen worden beoordeeld en vergeleken met die van andere gebouwen. In het energieprestatiecertificaat worden ook aanbevelingen opgenomen voor de kostenefficiënte verbetering van de energieprestatie van het gebouw of tips voor goed gebruikersgedrag;
- Artikel 11.2.2: dit artikel geeft aan de Vlaamse Regering de bevoegdheid om te bepalen in welke gevallen het verplicht is om een EPC te hebben;
- Artikel 11.2.3: dit artikel bepaalt dat het VEKA een energieprestatiecertificatendatabank bijhoudt en geeft aan de Vlaamse Regering de bevoegdheid om te bepalen welke gegevens uit het energieprestatiecertificaat worden bijgehouden, doorgestuurd en opgenomen in deze databank. §3 stelt o.a. dat de kredietgevers in het kader van een kredietaanvraag met onroerende bestemming of voor energiebesparende renovaties, toegang hebben tot de gegevens uit de energieprestatiecertificatendatabank van het gebouw waarop de kredietaanvraag slaat. De Vlaamse Regering bepaalt nadere voorwaarden betreffende welke gegevens worden vrijgegeven en de wijze waarop deze worden vrijgegeven.
• Energiebesluit van 19 november 2010:
- Artikel 9.2.1: dit artikel bepaalt welke gegevens het EPC residentiële gebouwen bevat. Het energieprestatiecertificaat residentiële gebouwen heeft in principe een geldigheidsduur van tien jaar;
- Artikel 9.2.5/1: Bepalingen met betrekking tot het EPC gemeenschappelijke delen;
- Artikel 9.2.6: dit artikel bepaalt welke gegevens het EPC niet-residentiële gebouwen bevat. Het energieprestatiecertificaat grote niet-residentiële gebouwen heeft een geldigheidsduur van tien jaar;
- Artikel 9.2.7/1: dit artikel bepaalt welke gegevens het EPC voor kleine niet-residentiële gebouwen bevat. Het energieprestatiecertificaat grote niet-residentiële gebouwen heeft een geldigheidsduur van tien jaar;
• Ministerieel besluit houdende algemene bepalingen inzake de energieprestatieregelgeving, energieprestatiecertificaten en de certificering van aannemers en installateurs van 28 december 2018:
- Artikel 72 t.e.m. artikel 72/2: deze artikelen bepalen de vorm en de inhoud van het EPC.
2. Xxxxxxx zal de opgevraagde gegevens verwerken voor volgende doeleinden:
- Conform artikel 11.2.3 van het Energiedecreet juncto artikel 6.4.26 van het Energiebesluit, heeft de distributienetbeheerder of zijn werkmaatschappij in het kader van de uitvoering van de opgelegde taken leesrecht met betrekking tot al de gegevens van de energieprestatiecertificatendatabank die betrekking hebben op de gebouwen gelegen in zijn werkingsgebied. Op die manier kan die distributienetbeheerder of haar werkmaatschappij de naleving van die voorwaarden eenvoudig controleren.
- Artikel 6.4.1/1/4 van het Energiebesluit: dit artikel bepaalt de voorwaarden voor het toekennen van de EPC-labelpremie en stelt dat de aanvragen ingediend moeten worden bij de elektriciteitsdistributienetbeheerder. Deze taak kadert in de openbaredienstverplichtingen voor de distributienetbeheerders.
Het doeleinde van de verdere verwerking van deze persoonsgegevens door Xxxxxxx is verenigbaar met de doeleinden waarvoor het VEKA de gegevens oorspronkelijk heeft verzameld, gezien het feit dat Xxxxxxx, via haar openbaredienstverplichtingen, mee uitvoering geeft aan de taak van het VEKA, zijnde het bevorderen van het rationeel energiegebruik en het beheer van de daartoe bestemde middelen en fondsen (artikel 2.1.3, 3°, b) Energiebesluit).
Artikel 3: De gevraagde persoonsgegevens en de categorieën en omvang van de gevraagde persoonsgegevens conform het proportionaliteitsbeginsel
In onderstaande tabel wordt een overzicht gegeven van de verschillende persoonsgegevens die worden meegedeeld, alsook de verantwoording van de proportionaliteit en de bewaartermijn van de gegevens.
Het betreft geen persoonsgegevens als vermeld in artikel 9 en/of 10 van de algemene verordening gegevensbescherming.
De gegevens worden opgevraagd op basis van het adres, attestnummer of gebouwID/gebouweenheidID.
Gegeven | Verantwoording proportionaliteit |
De identificatiegegevens van het gebouw of de gebouweenheid, met name: - de administratieve ligging (straat, huisnummer, busnummer, postcode, gemeente, CRAB-ID, AR-ID); - de gebouwID; - de gebouweenheidID. | Het gebouweenheid-ID en adresgegevens dienen om de woning waarvan de EPC-gegevens opgevraagd worden te identificeren. |
De gegevens over het EPC, met name: - het EPC-nummer; - de ID van het EPC; - de status (vervallen/geldig/vervangen); - datum indienen EPC - de geldigheidsdatum. | Deze gegevens zijn nodig opdat het juiste EPC gekoppeld kan worden aan de aanvrager. De distributienetbeheerder moet ook kunnen nagaan of het EPC nog geldig is. |
De energiegegevens van het gebouw, met name: - het label - het kengetal bij EPC bouw, opgesteld tussen 1 januari 2019 en 31 december 2019 | Deze gegevens zijn nodig om na te gaan of het gebouw het correcte label toegekend heeft gekregen om aanspraak te maken op de premie. |
De meegedeelde persoonsgegevens hebben enkel betrekking op gegevens van energieprestatiecertificaten, opgesteld vanaf 1 januari 2019. Immers, het “oude” EPC (d.i. het EPC om toegang te krijgen tot de regeling in 2021 en dat daardoor de baseline (E/F bij woning, D/E/F bij appartementen) vastlegt m.b.t. het label zoals het ten tijde van de voormelde eigendomsoverdracht bestaat) mag, conform artikel 6.4.1/1/4 van het Energiebesluit, niet ouder zijn dan 1 januari 2019.
De meegedeelde persoonsgegevens hebben enkel betrekking op gegevens van energieprestatiecertificaten residentieel en energieprestatiecertificaten bouw.
De meegedeelde gegevens zullen door Xxxxxxx gedurende 10 jaar bewaard worden. Deze bewaartermijn kan worden verantwoord gezien de gegevens worden gebruikt ter controle van uit te betalen premiedossiers waarvoor ook een bewaartermijn van 10 jaar wordt gehanteerd
Artikel 4: De categorieën van ontvangers en derden die mogelijks de gegevens eveneens verkrijgen
Fluvius zal de meegedeelde persoonsgegevens in het kader van de in artikel 2, 2°, vooropgestelde finaliteiten kunnen meedelen aan volgende categorie(ën) van ontvangers:
- Volgende diensten van Xxxxxxx zullen toegang hebben tot de gevraagde persoonsgegevens:
• Back office premies
• Team energie-inspectie
Enkel personen die omwille van hun functieprofiel deze informatie nodig hebben voor de uitvoering van hun werk, krijgen toegang tot de informatie.
De gevraagde gegevens zullen niet medegedeeld worden aan derde partijen.
Elke eventuele mededeling van de gevraagde persoonsgegevens door Xxxxxxx moet voorafgaandelijk aan het VEKA worden gemeld en moet uiteraard in overeenstemming zijn met de relevante wet- en regelgeving inzake de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens. Dat betekent onder meer dat Fluvius waar vereist een protocol sluit voor de mededeling van de gevraagde gegevens.
Artikel 5. Periodiciteit van de mededeling en de duur van de mededeling
De persoonsgegevens zullen PERMANENT op ad hoc basis worden opgevraagd omdat Xxxxxxx op elk moment de EPC-gegevens dient te kunnen raadplegen om na te gaan of een premie kan worden toegekend.
De mededeling van de persoonsgegevens gebeurt tot en met 31 december 2032 omdat de EPC- labelpremie ten laatste tot en met 31 december 2025 kan worden geactiveerd. Binnen de vijf jaar dient de aanvrager over een nieuw geldig EPC te beschikken. De aanvraag tot uitbetaling van de premie wordt ingediend ten laatste binnen de twaalf maanden na het verstrijken van de termijn van vijf jaar.
Hierna heeft de elektriciteitsdistributienetbeheerder nog het dossier te behandelen. In dat opzicht is het mededelen van de persoonsgegevens tot en met 31 december 2032 verantwoord.
Artikel 6. Beveiligingsmaatregelen
Volgende maatregelen worden getroffen ter beveiliging van de mededeling van de persoonsgegevens, vermeld in artikel 2:
- De authenticatie verloopt via PKI certificaten, op basis waarvan een beveiligde verbinding met de VEKA API’s en achterliggende data kan worden gemaakt. Hiervoor moet een CSR omgeving doorgestuurd worden naar het VEKA. Hierna worden de cliënt certificaten en configuratie ervan opgezet.
- Enkel collega’s die ook effectief premiedossiers verwerken (Fluvius back office premies en team Energie-Inspectie) hebben de benodigde rechten tot de toepassing waardoor enkel deze groep deze API vanuit CRM S4 kan aanroepen.
Daarnaast werden ook volgende specifieke maatregelen in het kader van de gegevensmededeling getroffen:
- Wanneer Fluvius informatie wil terugkrijgen over bepaalde energieprestatiecertificaten, dient een opzoeking gedaan te worden via opgegeven zoekcriteria. Hierbij moet steeds de ‘reden’ opgegeven worden. Afhankelijk van de reden zullen bepaalde certificaten of bepaalde data al dan niet beschikbaar zijn. Daarnaast is ook minstens één van de volgende 3 types hoofdcriteria vereist:
• Adres
• Attestnummer
• GebouwID/gebouweenheidID
Op deze manier wordt beperkt dat er niet-relevante gegevens ter beschikking worden gesteld. Wanneer geen enkel certificaat voldoet aan de zoekcriteria, wordt er geen resultaat weergegeven.
- Fluvius dient de informatie die ze hebben opgevraagd samen met de opgegeven reden gedurende tien jaar te loggen.1 Uit de logging is duidelijk dat de opvraging van de EPC- gegevens gebeurde in kader van de controle op de premie-aanvraag. Het VEKA kan deze logging op eenvoudig verzoek opvragen.
Xxxxxxx treft ten minste volgende organisatorische en technische beveiligingsmaatregelen ter beveiliging van de ontvangen persoonsgegevens bij verdere verwerking:
ja | nee | Toelichting/motivatie antwoord | |
1. Beschikt uw organisatie over een schriftelijke versie van het veiligheidsbeleid en veiligheidsplan, waarin ook de bescherming van persoonsgegevens is opgenomen? | ☒ | ☐ | […] |
2. Hebt u de risico’s en beveiligingsbehoeften die eigen zijn aan uw organisatie en die de verwerking van persoonsgegevens betreffen geëvalueerd? | ☒ | ☐ | […] |
1 Zie hierover als best practice punt 2.9. van de richtlijn ‘ Logbeheer ‘ van de KSZ: xxxxx://xxx.xxx- xxxx.xxxx.xx/xxxxx/xxxxxxx/xxxxx/xxxxxx/xxxxxxxxxxxxxxxxxxx/xxx_xxx_xxxxxxxxx.xxx
3. Hebt u de diverse dragers van uw organisatie geïdentificeerd waarbij persoonsgegevens betrokken zijn? | ☒ | ☐ | […] |
4. Zijn de interne en externe personeelsleden die bij de verwerking van persoonsgegevens betrokken zijn, goed op de hoogte van de vertrouwelijkheids- en beveiligingsplichten ten aanzien van deze gegevens die zowel voortvloeien uit de verschillende wettelijke vereisten als uit het beveiligingsplan? | ☒ | ☐ | […] |
5. Hoe is de geheimhoudingsplicht van de medewerkers bij de gegevensontvanger geregeld (wettelijke, statutaire of contractuele verplichting)? | ☒ | ☐ | […] |
6. Hebt u beheersmaatregelen genomen ter verhindering van de niet-gemachtigde of onnodige fysieke toegang tot dragers die persoonsgegevens bevatten? | ☒ | ☐ | […] |
7. Hebt u maatregelen genomen ter verhindering van elke fysieke schade die de persoonsgegevens in gevaar zouden kunnen brengen? | ☒ | ☐ | […] |
8. Hebt u beheersmaatregelen genomen ter bescherming van de verschillende netwerken waarmee de apparatuur die de persoonsgegevens verwerkt, is verbonden? | ☒ | ☐ | […] |
9. Beschikt u over een actuele lijst van de verschillende bevoegde personen die toegang hebben tot de persoonsgegevens en van hun respectievelijk toegangsniveau (creatie, raadpleging, wijziging, vernietiging)? | ☒ | ☐ | […] |
10. Hebt u op uw informatiesystemen een mechanisme voor toegangsmachtiging geïnstalleerd zodat de persoonsgegevens en de verwerkingen die er betrekking op hebben enkel toegankelijk zijn voor de personen en toepassingen die hiertoe uitdrukkelijk gemachtigd zijn? | ☒ | ☐ | […] |
11. Is uw informatiesysteem zodanig ontworpen dat de identiteit permanent geregistreerd wordt van diegenen die toegang hebben gehad tot de persoonsgegevens ? | ☒ | ☐ | […] |
12. Hebt u erin voorzien dat de geldigheid en de doeltreffendheid in de tijd van de ingestelde organisatorische en technische maatregelen gecontroleerd worden ter garantie van de beveiliging van de persoonsgegevens? | ☒ | ☐ | […] |
13. Hebt u voorzien in urgentieprocedures en rapporteringsprocedures bij beveiligingsincidenten waarbij persoonsgegevens betrokken zijn? | ☒ | ☐ | […] |
14. Beschikt u over een bijgewerkte documentatie betreffende de verschillende genomen beheersmaatregelen ter bescherming van persoonsgegevens en de verschillende verwerkingen die er betrekking op hebben? | ☒ | ☐ | […] |
Xxxxxxx moet kunnen aantonen dat de in dit artikel opgesomde maatregelen werden getroffen. Op eenvoudig verzoek van het VEKA moet Xxxxxxx hiervan aan het VEKA het bewijs overmaken.
In het geval Xxxxxxx voor de verwerking van persoonsgegevens die het voorwerp zijn van voorliggend protocol, beroep doet op een verwerker (of meerdere verwerkers), doet Xxxxxxx uitsluitend beroep op verwerkers die afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen bieden opdat de verwerking aan de vereisten van de algemene verordening gegevensbescherming voldoet en de bescherming van de rechten van de betrokkene is gewaarborgd. Fluvius sluit in voorkomend geval met alle verwerkers een verwerkersovereenkomst in overeenstemming met artikel 28 van de algemene verordening gegevensbescherming. Partijen
bezorgen elkaar een overzicht van de verwerkers die de gevraagde gegevens verwerken, en actualiseren dit overzicht zo nodig.
Artikel 7: Kwaliteit van de persoonsgegevens
Het VEKA bezorgt Fluvius de overeengekomen gegevens die beschikbaar zijn in de energieprestatiecertificatendatabank (EPC).
Xxxxx Xxxxxxx één of meerdere foutieve, onnauwkeurige, onvolledige, ontbrekende, verouderde of overtollige gegevens in de persoonsgegevens, vermeld in artikel 3, vaststelt (al dan niet op basis van een mededeling van de betrokkene), meldt zij dat onmiddellijk aan het VEKA die na onderzoek binnen één maand van de voornoemde vaststellingen de gepaste maatregelen treft en Fluvius daarvan vervolgens op de hoogte brengt.
Artikel 8: Sanctie bij niet-naleving
In geval van toepassingsproblemen of bij overtreding van dit protocol verbinden de partijen zich ertoe overleg te plegen en samen te werken teneinde zo snel mogelijk tot een minnelijke schikking te komen.
Bij gebrek aan akkoord tussen de partijen wordt het geschil beslecht met toepassing van het bepaalde in artikel 10.
Onverminderd haar recht om een schadevergoeding te vorderen voor de schade die een partij geleden zou hebben ingevolge de niet-naleving van deze overeenkomst, kan deze partij, in afwijking van het bepaalde in artikel 11, dit protocol middels eenvoudige kennisgeving en zonder voorafgaandelijke ingebrekestelling eenzijdig beëindigen indien Fluvius de persoonsgegevens verwerkt in strijd met hetgeen bepaald is in dit protocol, met de algemene verordening gegevensbescherming of met andere relevante wet- of regelgeving inzake de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens.
Artikel 9: Meldingsplichten
Partijen engageren zich in het licht van artikel 33 van de algemene verordening gegevensbescherming om elkaar via de functionarissen voor gegevensbescherming zonder onredelijke vertraging op de hoogte te stellen van elk gegevenslek dat zich voordoet betreffende de meegedeelde gegevens met impact op beide partijen en in voorkomend geval onmiddellijk gezamenlijk te overleggen teneinde alle maatregelen te nemen om de gevolgen van het gegevenslek te beperken en te herstellen. De partijen verschaffen elkaar alle informatie die ze nuttig of nodig achten om de beveiligingsmaatregelen te optimaliseren.
Elke Partij brengt de andere partij onmiddellijk op de hoogte van wijzigingen van wetgeving met impact op voorliggend protocol, zoals de finaliteit, proportionaliteit, frequentie, duurtijd enz. en in voorkomend geval, voor wat betreft de ontvangende partij, van wijzigingen omtrent de verwerkers.
Artikel 10: Toepasselijk recht en geschillenbeslechting
Dit protocol wordt beheerst door het Belgisch recht.
Alle geschillen die voortvloeien uit of verband houden met dit protocol worden beslecht door de bevoegde rechtbank in Brussel.
Artikel 11: Inwerkingtreding en opzegging
Dit protocol treedt in werking vanaf ondertekening door beide partijen.
Partijen kunnen dit protocol schriftelijk opzeggen mits inachtneming van een opzegtermijn van 3 maanden.
Het protocol eindigt van rechtswege na afloop van de in artikel 5 van dit protocol bedoelde termijn van mededeling. Het protocol eindigt tevens van rechtswege wanneer er geen rechtsgrond meer bestaat voor de gevraagde doorgifte van persoonsgegevens.
Opgemaakt te Brussel, op 16/03/22 in evenveel exemplaren als dat er partijen zijn.