Verwerkersovereenkomst
Verwerkersovereenkomst
Verwerkersovereenkomst tussen:
- Klanten Korelec, verder aangeduid als ‘de klant’ of ‘verwerkingsverantwoordelijke’;
EN
- Leverancier KORELEC BVBA, gevestigd te Xxxxxxxxxxxxxx 000, 0000 XXXXXX, met ondernemingsnummer BE 0422.651.269 , vertegenwoordigd door Xxxxxxxxx Xxxxxx en verder aangeduid als ‘de leverancier’ of ‘verwerker’.
Context en voorafgaande overwegingen
De verwerkingsverantwoordelijke (klant) beschikt over persoonsgegevens die hij in het kader van een overeenkomst doorgeeft aan de verwerker (leverancier), die deze gegevens verwerkt ten behoeve van de verwerkingsverantwoordelijke (klant).
De Algemene Verordening Gegevensbescherming / General Data Protection Regulation (AVG/GDPR) bepaalt het volgende:
“Wanneer een verwerking namens een verwerkingsverantwoordelijke wordt verricht, doet de verwerkingsverantwoordelijke uitsluitend een beroep op verwerkers die afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen bieden opdat de verwerking aan de vereisten van de GDPR voldoet en de bescherming van de rechten van de betrokkene is gewaarborgd”.
Deze overeenkomst heeft als doel de uitvoering en de organisatie van die verwerking door de verwerker te regelen en voldoende waarborgen te bieden ten aanzien van de bescherming van de persoonsgegevens van de klant/verwerkingsverantwoordelijke.
Artikel 1: Voorwerp van de overeenkomst
Partijen verbinden er zich5 principieel en uitdrukkelijk toe om de bepalingen van de Europese Verordening 2016/679 betreffende de bescherming van de natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (GDPR) en andere toepasselijke wet- en regelgeving betreffende de verwerking van persoonsgegevens van de klant/verwerkingsverantwoordelijke na te leven.
Voor de definities van begrippen wordt aangesloten verwezen naar artikel 4 van de GDPR.
Artikel 2: Duur overeenkomst
Onderhavige overeenkomst treedt in werking vanaf de terbeschikkingstelling van persoonsgegevens en duurt voort zolang de verwerker als verwerker van persoonsgegevens optreedt in het kader van de door de verwerkingsverantwoordelijke ter beschikking gestelde persoonsgegevens.
Artikel 3: Verwerking van de persoonsgegevens
De verwerker zal enkel op gedocumenteerde instructies en ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerken, overeenkomstig de bepalingen van onderhavige overeenkomst en conform de doeleinden zoals beschreven in artikel 6 punt 1 GDPR, behoudens afwijkende dwingende wettelijke voorschriften die op de verwerker van toepassing zijn.
De verwerker houdt een register bij van alle categorieën van verwerkingsactiviteiten die zij ten behoeve van een verwerkingsverantwoordelijke heeft verricht overeenkomstig artikel 30 van de GDPR.
Indien de verwerker aan wettelijke voorschriften dient te voldoen die ervoor zorgen dat de verwerker buiten de specifieke instructies van de verantwoordelijke gegevens verwerkt, is de verwerker verplicht om dit te melden aan de verwerkingsverantwoordelijke voordat de gegevens verwerkt worden.
Artikel 4: Medewerkers en sub-verwerkers
De verwerker zal de persoonsgegevens enkel intern verwerken, ze niet openbaar maken en niet doorgeven aan derden.
De verwerker waarborgt dat de personen die door hem gemachtigd zijn om de persoonsgegevens te verwerken zich er contractueel toe verbonden hebben vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden.
De verwerker mag andere verwerkers in dienst nemen zonder voorafgaande toestemming van de verwerkingsverantwoordelijke. De verwerker zal de verwerkingsverantwoordelijke inlichten over beoogde veranderingen inzake de toevoeging of vervanging van andere verwerkers, waarbij de verwerkingsverantwoordelijke de mogelijkheid wordt geboden tegen deze veranderingen bezwaar te maken. In geval van bezwaar zal de verwerker naar keuze, (a) de meerkost mogen aanrekenen aan de verwerkingsverantwoordelijke of (b) de overeenkomst met onmiddellijke ingang beëindigen.
De verwerker mag persoonsgegevens laten verwerken door andere personen of organisaties buiten de Europese Economische Ruimte (EER), zonder daarvoor voorafgaande schriftelijke toestemming te hebben verkregen van de verwerkingsverantwoordelijke. In voorkomend geval zal de verwerker de verwerkingsverantwoordelijke inlichten en passende maatregelen nemen opdat de persoonsgegevens naar dit land of organisatie mogen worden doorgegeven.
Het is de verantwoordelijkheid van de verwerker om aan medewerkers en derde verwerkers dezelfde verplichtingen op te leggen als diegene waaraan de verwerker zelf is gehouden op basis van onderhavige overeenkomst.
Wanneer de andere verwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft de eerste verwerker ten aanzien van de verwerkingsverantwoordelijke volledig aansprakelijk voor het nakomen van de verplichtingen van die andere verwerker.
Artikel 5: Beveiliging
De verwerkingsverantwoordelijke en de verwerker treffen passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen.
De verwerkingsverantwoordelijke ziet erop toe dat de verwerker minstens de maatregelen neemt die worden beschreven in bijlage 2 van deze overeenkomst. De verwerker zal het beschermingsniveau op regelmatige tijdstippen evalueren en zo nodig bijsturen.
In het bijzonder zal de verwerker de persoonsgegevens beveiligen tegen vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig. De verwerker zal de verwerkingsverantwoordelijke op verzoek van deze laatste informeren over de technische en organisatorische maatregelen die hij hiertoe ten uitvoer heeft gelegd.
Artikel 6: Medewerkingsplicht
De verwerker verleent bijstand aan de verwerkingsverantwoordelijke bij het vervullen van dienst plicht inzake beveiliging op grond van artikel 32 AVG.
De verwerker verleent bijstand aan de verwerkingsverantwoordelijke bij het vervullen van diens plicht om verzoeken tot uitoefening van de rechten van de betrokkene te beantwoorden, door middel van passende technische en organisatorische maatregelen en, voor zover mogelijk, rekening houdend met de aard van de verwerking.
De verwerker verleent bijstand aan de verwerkingsverantwoordelijke bij het opmaken van een gegevensbeschermingseffectbeoordeling (indien van toepassing), rekening houdend met de aard van de verwerking en de informatie die ter beschikking staat van de verwerker en, desgevallend, met de voorafgaande raadpleging.
De verwerker zal audits, met inbegrip van inspecties, door de verwerkingsverantwoordelijke of een door de verwerkingsverantwoordelijke gemachtigde controleur, mogelijk maken en eraan bijdragen.
De verwerker zal aan de verwerkingsverantwoordelijke alle informatie ter beschikking stellen die nodig is om de nakoming van de in artikel 28 van de AVG neergelegde verplichtingen aan te tonen.
De verwerker is gerechtigd op een vergoeding voor de bijstand vermeld in dit artikel, berekend op basis van de standaarduurtarieven van verwerker.
Artikel 7: Informatieplicht
De verwerker zal de verwerkingsverantwoordelijke inlichten indien hij meent dat de instructies die hij ontvangen heeft onwettelijk zijn.
Artikel 8: Datalekken en beveiligingsincidenten
De verwerker informeert de verwerkingsverantwoordelijke zo spoedig mogelijk en uiterlijk binnen 48 uur na de eerste ontdekking over alle inbreuken op de beveiliging alsmede andere incidenten die op grond van de GDPR dienen te worden gemeld aan een toezichthouder en/of betrokkene. De verwerker zal de verwerkingsverantwoordelijke daarbij voorzien van de informatie die hij redelijkerwijs nodig heeft om, indien nodig, een juiste en volledige melding te doen aan de toezichthouder en/of de betrokkene.
De verwerker zal de verwerkingsverantwoordelijke bijstaan bij diens verplichtingen voortvloeiend uit de artikel 33 en 34 AVG. De verwerker is gerechtigd op een vergoeding voor de bijstand vermeld in dit artikel, berekend op basis van de standaarduurtarieven van verwerker, tenzij de inbreuk of het incident voortvloeit uit een tekortkoming van de verwerker.
Artikel 9: Aansprakelijkheid
De aansprakelijkheid van de verwerker is beperkt, per kalenderjaar, tot 5000,00 EUR. De verwerker is niet aansprakelijk voor onrechtstreekse of gevolgschade, zoals (maar niet beperkt tot) verlies van winst, verlies van omzet, verlies van kans, verlies van cliënteel en verlies of corruptie van data.
Artikel 10: Na beëindiging van de verwerking van persoonsgegevens
Na afloop van de verwerkingsdiensten zal de verwerker, op kosten van, en volgens de keuze van de verwerkingsverantwoordelijke, alle persoonsgegeven wissen of aan hem terugbezorgen en bestaande kopieën verwijderen, tenzij opslag van de persoonsgegevens wettelijk verplicht is. In dat geval moet de verwerker opnieuw de nodige technische en organisatorische maatregelen volgens de GDPR nemen, ter bescherming van deze gegevens.
Na beëindiging van deze verwerkersovereenkomst zullen de lopende verplichtingen voor de verwerker, zoals het melden van datalekken, waarbij de persoonsgegevens van klanten van de verwerkingsverantwoordelijke betrokken zijn, blijven voortduren.
Artikel 11: Rechten
1. Garantie van een rechtmatige en veilige verwerking van de persoonsgegevens
KORELEC verwerkt uw persoonsgegevens steeds eerlijk en rechtmatig. Dit houdt volgende garanties in:
- Persoonsgegevens worden enkel conform de omschreven en gerechtvaardigde doeleinden van deze Privacyverklaring verwerkt.
- Persoonsgegevens worden enkel verwerkt voor zover dit toereikend, ter zake dienend en niet overmatig is.
- Persoonsgegevens worden maar bewaard zolang dit noodzakelijk is voor het verwezelijken van de omschreven en gerechtvaardigde doeleinden in deze Privacyverklaring.
De nodige technische en beveiligingsmaatregelen werden genomen om de risico’s op onrechtmatige toegang tot of verwerking van de persoonsgegevens tot een minimum te reduceren. Bij inbraak in haar informaticasystemen zal KORELEC onmiddellijk alle mogelijke maatregelen nemen om de schade tot een minimum te beperken.
2. Recht op inzage/rectificatie/wissen van uw persoonsgegevens
Bij bewijs van uw identiteit als Xxxxxxxxx, beschikt u over een recht om van KORELEC uitsluitsel te krijgen over het al dan niet verwerken van uw persoonsgegevens. Wanneer KORELEC uw gegevens verwerkt, heeft u bovendien het recht om inzage te verkrijgen in de verzamelde persoonsgegevens. Indien u wenst uw recht op inzage te gebruiken, zal KORELEC hieraan gevolg geven binnen één (1) maand na het ontvangen van de aanvraag. De aanvraag gebeurt via aangetekende zending of via het versturen van een e-mail naar xxxx@xxxxxxx.xxx.
Onnauwkeurige of onvolledige persoonsgegevens kunnen steeds verbeterd worden. Het is aan de Gebruiker om in de eerste plaats zelf onnauwkeurigheden en onvolledigheden aan te passen. U kan uw recht op verbetering uitoefenen door een aanvullende verklaring te verstrekken aan KORELEC. KORELEC zal hieraan gevolg geven binnen één (1) maand na het ontvangen van de aanvullende verklaring.
U heeft bovendien het recht om zonder onredelijke vertraging uw persoonsgegevens door ons te laten wissen. U kan slechts beroep doen op dit recht om vergeten te worden in de hiernavolgende gevallen:
- Wanneer de persoonsgegevens niet langer nodig zijn voor de doeleinden waarvoor zij oorspronkelijk werden verzameld;
- Wanneer de persoonsgegevens verzameld werden op basis van verkregen toestemming en geen andere rechtsgrond bestaat voor de verwerking;
- Wanneer bezwaar wordt gemaakt tegen de verwerking en geen prevalerende dwingende gerechtvaardigde gronden voor de verwerking bestaan;
- Wanneer de persoonsgegevens onrechtmatig werden verwerkt;
- Wanneer de persoonsgegevens gewist moeten worden overeenkomstig een wettelijke verplichting.
KORELEC beoordeelt de aanwezigheid van een van de voornoemde gevallen.
3. Recht op beperking van/bezwaar tegen de verwerking van uw persoonsgegevens
Gebruiker heeft het recht om een beperking van de verwerking van uw persoonsgegevens te verkrijgen:
- Gedurende de periode die KORELEC nodig heeft om de juistheid van de persoonsgegevens te controleren, in geval van betwisting;
- Wanneer de gegevensverwerking onrechtmatig is en Gebruiker verzoekt tot een beperking van de verwerking in plaats van het wissen van de persoonsgegevens;
- Wanneer KORELEC de persoonsgegevens van de Gebruiker niet meer nodig heeft voor de verwerkingsdoeleinden en Gebruiker de persoonsgegevens nodig heeft inzake een rechtsvordering;
- Gedurende de periode die KORELEC nodig heeft om de aanwezigheid van de gronden voor het wissen van persoonsgegevens te beoordelen.
Xxxxxxxxx heeft bovendien te allen tijde het recht om bezwaar te maken tegen de verwerking van zijn persoonsgegevens. KORELEC staakt hierna de verwerking van uw persoonsgegevens, tenzij KORELEC dwingende gerechtvaardigde gronden voor de verwerking van uw persoonsgegevens kan aanvoeren die zwaarder wegen dan het recht van de Gebruiker op bezwaar.
Indien Gebruiker wenst om deze rechten uit te oefenen, zal KORELEC hieraan gevolg geven binnen één (1) maand na het ontvangen van de aanvraag. De aanvraag gebeurt via aangetekende zending of via een e-mail naar xxxx@xxxxxxx.xxx.
4. Recht op gegevensoverdraagbaarheid
Gebruiker heeft het recht om de aan KORELEC verstrekte persoonsgegevens in een gestructureerde, gangbare en machine leesbare vorm te verkrijgen. Daarnaast heeft Xxxxxxxxx het recht om deze persoonsgegevens over te dragen aan een andere verwerkingsverantwoordelijke wanneer de verwerking van de persoonsgegevens uitsluitend rust op de verkregen toestemming van de Gebruiker.
Indien Gebruiker wenst om dit recht uit te oefenen, zal KORELEC hieraan gevolg geven binnen één (1) maand na het ontvangen van de aanvraag. De aanvraag gebeurt via aangetekende zending of via een e-mail naar xxxx@xxxxxxx.xxx.
Verwerkersovereenkomst – Bijlage 1
1. Onderwerp van de verwerking
• camerabewaking
• inbraakbeveiliging
• brandbeveiliging
• toegangscontrole
• videofonie
• ….
2. Duur van de verwerking
Zolang de gemaakte overeenkomst tussen de klant en de leverancier geldt
3. Aard en doel van de verwerking
• bewaren gegevens klant in functie van de benodigde service
• inloggen op beveiligingssysteem op vraag van klant (volgens type contract)
• doorgifte gegevens aan meldkamer en Incert (volgens type contract)
4. Categorieën persoonsgegevens die worden verwerkt
• persoonlijke identificatiegegevens (naam, adres, telefoonnummer, email, …)
• codes van klanten kunnen aangepast worden vanop afstand op expliciete vraag van klant
• onderhoudscontract beveiliging: persoonlijke identificatiegegevens, opsomming detectiepunten en geplaatste materialen, telefoonnrs contactpersonen
• aan xxxxxxxxx (volgens contract): persoonlijke identificatiegegevens, paswoord vd contactpersonen ter identificatie, contactpersonen met telefoonnummer, procedure bij alarmmelding en zones (volgens type contract)
• aan Incert (enkel bij inbraakbeveiliging): persoonlijke identificatiegegevens, gegevens over de installatie, risicograad en opmerkingen over de installatie (volgens type contract)
• police on web: (aangifte alarmsysteem ad politie via ID kaartlezer) persoonlijke identificatiegegevenscontactpersonen met telefoon, aard van het goed, risico geassocieerd met de installatieplaats
5. Categorieën van betrokkenen bij de verwerker
• klant zelf
• contactpersonen klant (enkel in geval van aansluiting bij meldkamer of privédoor- kiezer)
• camerabeelden (enkel in geval van camerabewaking)
Verwerkersovereenkomst – Bijlage 2 – Bepalingen artikel 32 GDPR
De verwerker treft passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, rekening houdend met:
🗹 de stand van de techniek
🗹 de uitvoeringskosten
🗹 de aard, de omvang, de context en de verwerkingsdoeleinden
🗹 de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen.
Hiertoe geeft de verwerker hieronder een opsomming van de toegepaste beveiligingsmaatregelen.
Beschrijving van de mogelijke technische en organisatorische maatregelen. Duid aan of vul aan.
1 Technische maatregelen
🗹 de aanwezigheid van automatische anonimisering of pseudonimisering van de persoonsgegevens nadat het doeleinde van de verwerking (of wettelijke opgelegde bewaartermijnen) zijn overschreden
🗹 de aanwezigheid van een degelijk uitgebouwd gebruikers beheer. Dit omvat:
🗹 zelf interne gebruikers kunnen toevoegen/verwijderen (zonder tussenkomst v/d leverancier)
🗹 de mogelijkheid om multi-factorauthenticatie (bv.eID) te gebruiken
🗹 een wachtwoordenpolicy in te stellen
🗹 mogelijkheid om rechten toe te kennen (toegang, lezen en/of schrijven)
🗹 de mogelijkheid tot ‘loggen’: welke gebruiker welke acties uitgevoerd heeft (incl. consultatie)
🗹 back-ups
🗹 antivirus, firewall, software updates, …
🗹 vernietiging van media (gegevensdragers)
🞎 ……
2 Organisatorische maatregelen
🗹 de verwerker zal ervoor zorgen dat de plaatsen waar ten behoeve van de verwerkingsverantwoordelijke, persoonsgegevens worden verwerkt, niet toegankelijk zijn voor onbevoegden.
🗹 de verwerker zal de toegang tot de verwerkte persoonsgegevens beperken tot die personeelsleden die de gegevens nodig hebben om de taken uit te oefenen die de verwerker hen in uitvoering van deze overeenkomst toewijst.
🗹 de verwerker beschikt over een intern aanspreekpunt voor persoonsgegevensbescherming
🗹 de verwerker toont aan dat zijn eventuele personeelsleden op de hoogte zijn van het veiligheidsbeleid
🗹 de verwerker garandeert de klant d.m.v. afspraken dat de opgeslagen persoonsgegevens door de verwerker enkel worden ingekeken op vraag van de klant of na verwittiging voor onderhoud
🗹 de verwerker toont aan via documentatie dat hij in staat is om bij een data-lek de verwerkingsverantwoordelijke te informeren
🗹 een privacyverklaring geeft de nodige transparantie (verplichting door GDPR)