Kaderovereenkomst Gegevensverwerking
Kaderovereenkomst Gegevensverwerking
Dit document vormt de verwerkersovereenkomst van:
Easyfairs, gevestigd aan Franklinweg 2 te Gorinchem.
(hierna: "Verwerker");
Ten behoeve van de dienstverlening aan “Verwerkingsverantwoordelijke”, waarvan de overige gegevens zijn vermeld bij de ondertekening van deze overeenkomst.
(hierna: "Verwerkingsverantwoordelijke");
Gezamenlijk “de partijen” of elk afzonderlijk “de partij” genoemd
Overwegende dat
- De Verwerker regelmatig welbepaalde prestaties uitvoert (“de Diensten”) voor rekening van de Verwerkingsverantwoordelijke.
- De Verwerker, In het kader van deze Diensten namens en in opdracht van de Verwerkingsverantwoordelijke persoonsgegevens zal verwerken.
- Partijen te dien einde beslist hebben om onderhavige kaderovereenkomst aan te gaan betreffende de verwerking van persoonsgegevens, van toepassing op elke uitvoering van Diensten door de Verwerker namens en in opdracht van de Verwerkingsverantwoordelijke, waarbij persoonsgegevens worden verwerkt.
De partijen zijn overeengekomen hetgeen volgt:
1. Definities
Tenzij anders overeengekomen, hebben de woorden of uitdrukkingen “Verwerkingsverantwoordelijke”, “Verwerker”, “betrokkene”, “persoonsgegevens”, “verwerking” en “inbreuk in verband met persoonsgegevens” dezelfde definitie als beschreven in artikel 4 van de verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (“algemene verordening gegevensbescherming” of “AVG”).
2. Voorwerp
Deze gegevensverwerkingsovereenkomst betreft de verwerking van informatie (waaronder persoonsgegevens, hierna “de gegevens” genoemd) door de Verwerker, op basis van de schriftelijke instructies van de Verwerkingsverantwoordelijke.
Het onderwerp en de aard van de Verwerking zijn beschreven in bijlage 1.
De categorieën van gegevens en de categorieën van betrokkenen die verwerkt worden in het kader van deze overeenkomst, alsook de doeleinden van de verwerking, zijn beschreven in bijlage 2.
Deze overeenkomst is eveneens van toepassing op alle gegevensverwerkingen die door de Verwerker worden verricht voor rekening van de Verwerkingsverantwoordelijke in verband met de “Diensten”.
Deze kunnen op ieder ogenblik in onderlinge overeenstemming tussen partijen worden aangevuld, gewijzigd of vervangen.
3. Verplichtingen van de Verwerker
De Verwerker verbindt zich ertoe om de hierboven bedoelde gegevens te verwerken overeenkomstig de bepalingen van deze overeenkomst evenals van de AVG. In het bijzonder verbindt hij zich ertoe de volgende verplichtingen in acht te nemen:
3.1 Verwerking volgens de schriftelijke instructies van de Verwerkingsverantwoordelijke
De Verwerker zal de gegevens verwerken volgens de schriftelijke instructies van de Verwerkingsverantwoordelijke en uitsluitend voor de doeleinden beschreven in deze overeenkomst, met uitsluiting van ieder ander doel, behoudens uitdrukkelijk akkoord van de Verwerkingsverantwoordelijke.
3.2. Technische en organisatorische maatregelen
Over het algemeen zal de Verwerker afdoende garanties bieden met betrekking tot het toepassen van passende technische en organisatorische maatregelen, opdat de verwerkingen die het voorwerp zijn van deze overeenkomst aan de vereisten van de AVG voldoen en de bescherming van de rechten van de betrokkene waarborgen.
De Verwerker zal passende technische en organisatorische maatregelen treffen om een op het risico afgestemd beveiligingsniveau te waarborgen, rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de doeleinden van de verwerking en met de qua waarschijnlijkheid en ernst uiteenlopende risico's.
Bij de beoordeling van het passende beveiligingsniveau, moet de Verwerker bijzondere aandacht besteden aan de risico's die met name verband houden met de vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot de doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.
Onverminderd de bepalingen hierboven, verbindt de Verwerker zich ertoe om de nodige technische en operationele maatregelen te nemen om:
• De toegang tot de gegevens te beperken tot de personen die handelen onder zijn gezag en deelnemen aan de uitvoering van de taken die hem door de Verwerkingsverantwoordelijke zijn opgedragen. Eenieder die bevoegd is om toegang te nemen tot de persoonsgegevens zal enkel kennis nemen van de gegevens die hij nodig heeft voor de uitvoering van de taken die hem door de Verwerker zijn toevertrouwd voor de uitvoering van deze overeenkomst en zal ze uitsluitend voor dat doel gebruiken;
• Te waarborgen dat de tot het verwerken van de persoonsgegevens gemachtigde personen zich ertoe hebben verbonden de vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden;
• Te waarborgen dat de gegevens niet kunnen worden gekopieerd, gewijzigd, doorgezonden of gewist zonder toestemming van de verwerkingsverantwoordelijke, tijdens hun verwerking door de Verwerker of tijdens de doorzending van de gegevens door de Verwerker op welke wijze en op welke drager ook;
• De persoon aan wie en door wie de gegevens werden doorgezonden te kunnen identificeren;
• Te zorgen dat de gegevens beschermd zijn tegen vernietiging of verlies, met name door regelmatige back-ups te maken;
• Erop toe te zien dat de IT-systemen van de Verwerker op afdoende wijze beschermd zijn, onder meer tegen virussen en tegen het onderscheppen van gegevens binnen het netwerk;
• Een register bij te houden van alle categorieën van verwerkingsactiviteiten verricht voor rekening van de Verwerkingsverantwoordelijke overeenkomstig artikel 30 van de AVG.
• De beschrijving van de door de Verwerker genomen technische en organisatorische maatregelen in verband met de veiligheid is bijgevoegd in bijlage 3.
3.3. Samenwerking ingeval een betrokkene een van zijn rechten zou uitoefenen, voor zover de verwerkingen die de Verwerker moet verrichten het hem toelaten:
• Op eerste verzoek van de Verwerkingsverantwoordelijke en in de mate van het mogelijke, zal de Verwerker de Verwerkingsverantwoordelijke bijstaan om te antwoorden op alle vragen van de betrokkenen betreffende de uitoefening van hun rechten van toegang, rectificatie, verbetering, bezwaar, beperking van de verwerking, vergetelheid of gegevensoverdraagbaarheid.
• Als de Verwerkingsverantwoordelijke hem dit opdraagt, zal de Verwerker de gegevens verbeteren, wissen of verwerken zoals gevraagd door de betrokkene.
• Als de betrokkene rechtstreeks contact zou opnemen met de Verwerker, in het kader van een klacht betreffende de verwerking van zijn gegevens of een vraag betreffende de uitoefening van zijn rechten, zal de Verwerker die vraag zo snel en zo gedetailleerd mogelijk doorgeven aan de Verwerkingsverantwoordelijke. De Verwerker zal een dergelijke vraag in geen geval behandelen zonder dat dit hem door de Verwerkingsverantwoordelijke is opgedragen.
3.4. Kennisgevingsverplichtingen van de Verwerker
• Kennisgeving betreffende de gegeven instructies
De Verwerker stelt de Verwerkingsverantwoordelijke onmiddellijk in kennis indien naar zijn mening een instructie van de Verwerkingsverantwoordelijke een inbreuk oplevert op de AVG of op andere wettelijke bepalingen betreffende de gegevensbescherming. In dat geval heeft de Verwerker de mogelijkheid om de uitvoering van de betrokken instructie op te schorten totdat ze door de Verwerkingsverantwoordelijke wordt bevestigd of gewijzigd.
• Kennisgeving betreffende een inbreuk in verband met persoonsgegevens
De Verwerker moet de Verwerkingsverantwoordelijke zo snel mogelijk en uiterlijk binnen 24 uur na zijn ontdekking, in kennis stellen van ieder incident dat een inbreuk inhoudt in verband met persoonsgegevens of ieder veiligheidsincident met betrekking tot het systeem van de Verwerker.
Deze kennisgeving aan de Verwerkingsverantwoordelijke moet alle informatie bevatten die hij nodig heeft om aan zijn eigen verplichtingen inzake inbreuk in verband met persoonsgegevens te voldoen overeenkomstig de in de AVG beschreven procedure.
Bovendien verbindt de Verwerker zich ertoe om de nodige maatregelen te nemen om te verhelpen aan de inbreuk in verband met persoonsgegevens, inclusief indien nodig, de maatregelen om de mogelijke negatieve gevolgen te beperken. Deze maatregelen worden genomen in overleg met de Verwerkingsverantwoordelijke tenzij in uiterst dringende gevallen die een onmiddellijke tussenkomst van de Verwerker vereisen.
Op verzoek van de Verwerkingsverantwoordelijke, zal de Verwerker hem bijstaan om te voldoen aan zijn verplichtingen van kennisgeving aan de autoriteiten of mededeling aan de betrokkenen.
Tenzij de wet hem daartoe verplicht of het hem uitdrukkelijk wordt opgedragen door de Verwerkingsverantwoordelijke, zal de Verwerker geen enkele informatie betreffende een inbreuk in verband met de gegevens doorgeven aan welke derde ook.
• De Verwerker moet de Verwerkingsverantwoordelijke onverwijld in kennis stellen van iedere inspectie in verband met de gegevens door de bevoegde overheid inzake gegevensbescherming en moet de Verwerkingsverantwoordelijke bijstaan ingeval die inspecties plaatsvinden ten aanzien van de Verwerkingsverantwoordelijke.
3.5. Samenwerking bij audits betreffende de gegevensverwerking
• De Verwerkingsverantwoordelijke behoudt zich het recht voor na te gaan of de gegevens die hij heeft meegedeeld aan de Verwerker, wel worden verwerkt volgens deze overeenkomst en op basis van zijn instructies. In het kader hiervan kan hij steekproefsgewijze controles en audits verrichten in verband met de bescherming en veiligheid van de gegevens. Deze controles en audits moeten minstens 7 dagen op voorhand worden aangekondigd en hebben plaats tijdens de kantooruren.
• De Verwerker stelt aan de Verwerkingsverantwoordelijke alle nodige informatie of documentatie ter beschikking om de inachtneming van de in dit artikel voorziene verplichtingen aan te tonen en om de uitvoering van steekproefsgewijze audits of controles door de Verwerkingsverantwoordelijke of een door hem afgevaardigd controleur mogelijk te maken en bij te dragen tot die audits. Hij staat de Verwerkingsverantwoordelijke bij bij de uitvoering van zijn audits of controles en ziet erop toe dat deze op een efficiënte en correcte manier verlopen.
3.6. Sub-verwerking door de Verwerker
• De Verwerker is gerechtigd om beroep te doen op de in bijlage 4 gepreciseerde verwerkers (hierna “Sub-verwerkers”) teneinde de verwerkingsactiviteiten uit te oefenen die in diezekfde bijlage 4 vervat zijn. In het geval hij andere Sub-verwerkers in dienst wenst te nemen, dient hij de specifieke, voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke te bekomen, zodat de Verwerkingsverantwoordelijke desgevallend bezwaar kan uitbrengen tegen die veranderingen.
• Wanneer de Verwerker een Sub-verwerker rekruteert, verbindt hij zich ertoe om dezelfde verplichtingen op te leggen inzake gegevensbescherming als deze bepaald in de overeenkomst gesloten tussen de Verwerker en de Verwerkingsverantwoordelijke, in het bijzonder wat betreft het bieden van afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen om aan de AVG te voldoen.
• In elk geval blijft de Verwerker ten volle aansprakelijk ten aanzien van de Verwerkingsverantwoordelijke voor de uitvoering door de Sub-verwerker van zijn verplichtingen.
3.7 Doorgifte van gegevens buiten de Europese Economische Ruimte
• Het is de Verwerker verboden om de gegevens door te zenden of te verwerken buiten de Europese Economische Ruimte zonder voorafgaand en schriftelijk akkoord van de Verwerkingsverantwoordelijke.
• Als de doorgifte toegelaten is, verbinden de partijen zich ertoe om de artikelen 44 en volgende van de AVG betreffende de doorgifte van gegevens aan derde landen of internationale organisaties na te leven.
3.8. Vertrouwelijkheid
De Verwerker verbindt zich ertoe om de gegevens die hem worden meegedeeld door de Verwerkingsverantwoordelijke op strikt vertrouwelijke wijze te verwerken en ze niet te kopiëren, openbaar te maken of op welke wijze ook te verwerken zonder uitdrukkelijke toestemming van de Verwerkingsverantwoordelijke, tenzij de wet het vereist.
3.9. Gegevenswissing na beëindiging van de verwerking
Bij de beëindiging van de dienstverleningsovereenkomst dient de Verwerker, alle gegevens terug te sturen naar de Verwerkingsverantwoordelijke en deze vervolgens te wissen, evenals bestaande kopieën te vernietigen, tenzij het Unierecht of het recht van de bevoegde staat de verplichting oplegt de persoonsgegevens op te slaan.
4. Aansprakelijkheid - verzekering
• De Verwerker zal aansprakelijk worden gesteld voor alle schade die voortvloeit uit de niet- naleving of niet-correcte naleving van zijn verplichtingen of niet-naleving van de termijnen overeenkomstig de bepalingen van deze overeenkomst.
• De Verwerker vrijwaart de Verwerkingsverantwoordelijke voor alle klachten van derden die het gevolg zouden zijn van een handeling of nalatigheid van de Verwerker in strijd met zijn verplichtingen die voortvloeien uit deze overeenkomst of de AVG. Meer bepaald vrijwaart de Verwerker de Verwerkingsverantwoordelijke voor iedere vordering tot schadevergoeding, kosten en uitgaven (inclusief erelonen van een advocaat) waartoe de Verwerkingsverantwoordelijke zou worden veroordeeld door toedoen van de Verwerker.
• In dat verband verbindt de Verwerker zich ertoe om een passende aansprakelijkheidsverzekering aan te gaan die zijn verschillende verplichtingen dekt. Op eenvoudig verzoek van de Verwerkingsverantwoordelijke, zal de Verwerker aan de Verwerkingsverantwoordelijke een kopie van het verzekeringsbewijs voorleggen.
5. Duur
Deze overeenkomst treedt in werking op de datum van ondertekening en is afgesloten de duur die noodzakelijk is voor de aan de Verwerker toevertrouwde Verwerkingen en zal ten laatste bij het verstrijken van de onderliggende Dienstverleningsovereenkomst in het kader waarvan de gegevens verwerkt worden, eindigen.
Elk van de Partijen mag de overeenkomst, hieronder begrepen de onderliggende Dienstverleningsovereenkomst, op ieder moment eenzijdig en zonder voorafgaande gerechtelijke tussenkomst beëindigen door schriftelijke kennisgeving aan de andere Partij, indien deze laatste ernstig tekortschiet in één van haar verplichtingen krachtens deze overeenkomst of (voor zover rechtzetting mogelijk is) deze tekortkoming niet wordt rechtgezet binnen vijftien (15) dagen volgend op het ontvangen van een schriftelijke ingebrekestelling door de andere partij.
6. Toepasselijk recht en bevoegde rechtbanken
De onderhavige overeenkomst is onderworpen aan en dient geïnterpreteerd te worden volgens het Belgisch recht.
Ieder geschil betreffende de geldigheid, interpretatie of uitvoering van deze overeenkomst valt onder de exclusieve bevoegdheid van de rechtbanken van Brussel (België).
Opgemaakt te Gorinchem in twee originele exemplaren, waarvan elke partij erkent het hare te hebben ontvangen.
Voor de Verwerkingsverantwoordelijke
-Zie digitale handtekening
Voor de Verwerker Easyfairs
Xxxxxxx Xxxxxx
Head of Marketing, Intelligence & Technology Privacy Officer Netherlands
Handtekening
Bijlage 1
Onderwerp en aard van de verwerking van de persoonsgegevens
- Uitnodigen van relaties voor Transport & Logistics georganiseerd door Easyfairs
Bijlage 2:
De categorieën van gegevens die verwerkt worden in het kader van deze overeenkomst zijn:
- Bedrijfsnaam
- Contactpersoon (Voor/achternaam)
- Adres
De categorieën van betrokkenen wiens gegevens worden verwerkt zijn:
- Relaties van exposanten voor wie bezoek aan Transport & Logistics 2018 relevant is
De gegevens worden verwerkt voor de volgende doeleinden:
- Invitaties voor Transport & Logistics 2018
- Analyses
Bijlage 3
Lijst van de aanvaardde Sub-verwerkers en de Verwerkingen die zij gerechtigd zijn uit te voeren