ADDENDUM DE VERWERKERSOVEREENKOMST M.B.T. GEGEVENSBESCHERMING
ADDENDUM DE VERWERKERSOVEREENKOMST M.B.T. GEGEVENSBESCHERMING
Tussen ondergetekenden
(Naam),
met maatschappelijke zetel te
(Adres),
met KBO-nummer (KBO-nummer);
Hier rechtsgeldig vertegenwoordigd door (Naam). Hierna genoemd “de Verwerkingsverantwoordelijke”.
EN
Computer Management and Services (CMS) NV, met maatschappelijke zetel te 0000 Xxxxxxxxx, Luchthavenlaan 25/A, met KBO-nummer 426.795.644;
Hier rechtsgeldig vertegenwoordigd door Essensys NV, vast vertegenwoordigd door de Xxxx Xxxx Xxx Xxxxxxxxx, gedelegeerd bestuurder.
Hierna genoemd “de Verwerker”.
Hierna gezamenlijk genoemd de “Partijen”. Overwegende dat:
De Verwerker diensten verricht ten behoeve van de Verwerkingsverantwoordelijke, zoals beschreven in de Basisovereenkomst, deze diensten met zich brengen dat Persoonsgegevens worden verwerkt en de partijen met dit Addendum de afspraken wensen vast te leggen over de Verwerking van Persoonsgegevens in het kader van de diensten.
Wordt overeengekomen als volgt:
1. BEGRIPPENKADER
1.1 Voor de toepassing van dit Addendum gelden de volgende begripsomschrijvingen:
- Algemene Verordening Gegevensbescherming: de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de
bescherming van natuurlijke personen in verband met de verwerking van Persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG, met haar wijzigingen en Europese uitvoeringswetgeving;
- Wetgeving Gegevensbescherming: de Algemene Verordening Gegevensbescherming, andere Europese regelgeving waarin bepalingen met betrekking tot gegevensbescherming en privacy worden opgenomen, evenals de toepasselijke nationale wetgeving inzake gegevensbescherming en privacy in de lidstaten met haar wijzigingen en uitvoeringsbesluiten, met inbegrip van voor de sector toepasselijke goedgekeurde gedragscodes;
- Persoonsgegevens, Verwerking, Verwerkingsverantwoordelijke, Verwerker, Betrokkene, Toestemming: de begripsomschrijvingen zoals bepaald in de Algemene Verordening Gegevensbescherming;
- Basisovereenkomst: de contractuele relatie of de overeenkomst tussen de Verwerkingsverantwoordelijke en de Verwerker.
1.2 De Verwerker levert diensten aan de Verwerkingsverantwoordelijke op grond van en zoals gedefinieerd in de Basisovereenkomst.
Voor de Verwerkingsactiviteiten zoals bepaald in Annex 1 bij dit Addendum geldt volgende kwalificatie:
- de Verwerkingsverantwoordelijke bepaalt het doel en de middelen van de Verwerking en is bijgevolg Verwerkingsverantwoordelijke;
- de Verwerker verricht de Verwerking van Persoonsgegevens ten behoeve van de Verwerkingsverantwoordelijke als Verwerkingsverantwoordelijke en is bijgevolg verwerker.
2. TOEPASSINGSGEBIED EN VERHOUDING MET DE BASISOVEREENKOMST
2.1 Dit Addendum maakt integraal deel uit van de Basisovereenkomst gesloten tussen de Verwerkingsverantwoordelijke en de Verwerker. De bepalingen uit dit Addendum zijn onverkort van toepassing op alle Verwerkingen van Persoonsgegevens die de Verwerker verricht in het kader van de uitvoering van de Verwerkingsactiviteiten bepaald in Annex 1.
2.2 De bepalingen uit dit Addendum (en Annexen) gaan voor op de (eventueel andersluidende) bepalingen over gegevensbescherming en -Verwerking en vertrouwelijkheid van gegevens in de Basisovereenkomst en vervangen deze.
3. VERWERKING CONFORM DE REGELGEVING EN DE SCHRIFTELIJKE INSTRUCTIES VAN DE
Verwerkingsverantwoordelijke
3.1 Bij de Verwerking van Persoonsgegevens handelen de Partijen in overeenstemming met de Wetgeving Gegevensbescherming.
3.2 De Verwerker verwerkt de Persoonsgegevens uitsluitend op basis van de schriftelijke instructies van de Verwerkingsverantwoordelijke, eenzijdig bepaald door de Verwerkingsverantwoordelijke en zoals opgenomen in Annex 1 bij dit Addendum. Indien de schriftelijke instructies niet duidelijk zijn, meldt de Verwerker dit schriftelijk aan de Verwerkingsverantwoordelijke waarop in onderling overleg de instructies worden verduidelijkt.
3.3 Behoudens andersluidende bepalingen in dit Addendum zal de Verwerker de Persoonsgegevens niet voor eigen doeleinden of die van derden verwerken, noch de Persoonsgegevens aan derden verstrekken, noch deze doorsturen naar een land gelegen buiten de Europese Unie zonder daartoe een schriftelijke instructie te hebben ontvangen van de Verwerkingsverantwoordelijke. Een Verwerking conform de instructies van de Verwerkingsverantwoordelijke kan ook betekenen dat de Verwerking (onmiddellijk) moet worden stopgezet.
3.4 De Verwerkingsverantwoordelijke geeft instructies aan de Verwerker in overeenstemming met de Wetgeving Gegevensbescherming en waarborgt dat alle Persoonsgegevens die aan de Verwerker worden toevertrouwd rechtmatig werden verkregen en kunnen worden verwerkt in het kader van de Basisovereenkomst.
3.5 De Verwerker stelt de Verwerkingsverantwoordelijke onmiddellijk in kennis indien naar zijn mening een instructie onder artikel 3.2. inbreuk oplevert op Wetgeving Gegevensbescherming.
4. PASSENDE TECHNISCHE EN ORGANISATORISCHE MAATREGELEN
4.1 De Partijen treffen passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen.
4.2 Bij het bepalen van de maatregelen wordt rekening gehouden met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de Verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen.
De maatregelen omvatten, waar passend, onder meer het volgende:
a) Pseudonimisering en versleuteling van Persoonsgegevens;
b) Het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de Verwerkingssystemen en diensten te garanderen;
4.3 Bij de beoordeling van het passend beveiligingsniveau wordt met name rekening gehouden met de Verwerkingsrisico’s, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens, hetzij per ongeluk hetzij onrechtmatig.
4.4 De Verwerker beschrijft in Annex 2 de passende technische en organisatorische maatregelen die door hem worden getroffen. Hij rapporteert op eigen initiatief aan de Verwerkingsverantwoordelijke de wijzigingen die aan de maatregelen, zoals uiteengezet in Annex 2, worden doorgevoerd en dit binnen een termijn van veertien dagen na het aanbrengen van de wijzigingen.
5. VERWERKING DOOR EEN “SUBVERWERKER” OF WERKNEMER
5.1 De Verwerker waarborgt dat de bepalingen van dit Addendum worden nageleefd door zijn vertegenwoordigers, agenten, onderaannemers en werknemers.
De Verwerker waarborgt in het verlengde daarvan dat:
- de tot het verwerken van Persoonsgegevens gemachtigde personen zich ertoe hebben verbonden om de vertrouwelijkheid in acht te nemen dan wel door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden;
- dat er maatregelen zijn getroffen om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder diens gezag en toegang heeft tot de Persoonsgegevens, deze slechts in opdracht van de Verwerkingsverantwoordelijke verwerkt, tenzij hij door Europese of nationale regelgeving tot Verwerking is gehouden.
5.2 De Verwerkingsverantwoordelijke geeft, door de ondertekening van dit Addendum, de algemene schriftelijke toestemming aan de Verwerker om andere Subverwerkers aan te stellen of bestaande Subverwerkers te vervangen en/of hun takenpakket te wijzigen.
De Verwerker publiceert de lijst van de Subverwerkers die zij aanstelt in haar hoedanigheid van Verwerker op de website van Corilus. De Verwerkingsverantwoordelijke dient op deze webpagina aan te duiden dat hij een mailnotificatie wenst bij wijziging van de lijst van deze Subverwerkers.
De Verwerkingsverantwoordelijke heeft de mogelijkheid tegen deze verandering(en) bezwaar te maken.
De Verwerkingsverantwoordelijke kan een Subverwerker alleen weigeren indien de Subverwerker in de voorbije 12 maanden een administratieve boete heeft opgelopen in het kader van de AVG, wegens het niet-uitvoeren van de door de gegevensbeschermingsautoriteit opgelegde remediëringsmaatregelen.
5.3 Wanneer de Subverwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft de Verwerker volledig aansprakelijk ten aanzien van de Verwerkingsverantwoordelijke voor het nakomen van de verplichtingen van de Subverwerker.
6. VERLENEN VAN BIJSTAND BIJ DE VERPLICHTINGEN M.B.T. HET GEGEVENSBESCHERMINGSBELEID VAN DE VERWERKINGSVERANTWOORDELIJKE
6.1 Rekening houdend met de aard van de Verwerking en de hem ter beschikking staande informatie, verbindt de Verwerker zich ertoe bijstand te verlenen aan de Verwerkingsverantwoordelijke in de verantwoordelijkheid van de Verwerkingsverantwoordelijke om volgende verplichtingen in het kader van gegevensbescherming na te leven:
- het treffen van passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen;
- het melden van een inbreuk in verband met Persoonsgegevens aan de toezichthoudende overheid;
- de mededeling van een inbreuk in verband met Persoonsgegevens aan de betrokkene;
- het uitvoeren van een gegevensbeschermingseffectbeoordeling;
- het voorafgaand raadplegen van de toezichthoudende overheid indien uit de gegevensbeschermingseffectbeoordeling blijkt dat de Verwerking een hoog risico zou opleveren indien de Verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken.
6.2 In het verlengde van artikel 6.1, licht de Verwerker de Verwerkingsverantwoordelijke omstandig en onmiddellijk in over een (vermoedelijke) inbreuk in verband met Persoonsgegevens alsook over iedere gegevenslek (ook bij de Subverwerker) zodra de Verwerker hiervan kennis heeft genomen. De kennisgeving gebeurt op een dergelijke wijze dat de Verwerkingsverantwoordelijke tijdig kan voldoen aan haar wettelijke verplichtingen als Verwerkingsverantwoordelijke onder de Wetgeving Gegevensbescherming. De Verwerker is aansprakelijk ten opzichte van de Verwerkingsverantwoordelijke zoals voorzien in artikel 9Error! Reference source not f ound..
Voor de melding gebruikt de Verwerker het meldingsformulier in Annex 3.
De Verwerker levert tevens bijstand in het onderzoek naar en de beperking en remediëring van een inbreuk in verband met een Verwerking van Persoonsgegevens. Daarbij zal hij onder meer ook bijstand verlenen met het oog op het documenteren van maatregelen zoals gegevensbescherming door ontwerp en door standaardinstellingen.
6.3 De Verwerker stelt de Verwerkingsverantwoordelijke onmiddellijk in kennis van enige gemaakte klacht, beschuldiging of aanvraag (ook indien afkomstig van een regulator) met betrekking tot de Verwerking van Persoonsgegevens door de Verwerker. De Verwerker biedt alle nodige medewerking en ondersteuning die de Verwerkingsverantwoordelijke redelijkerwijze kan verwachten met betrekking tot dergelijke klacht, beschuldiging of aanvraag, onder meer door volledige informatie te verstrekken over dergelijke klacht, beschuldiging of aanvraag samen met een kopie van de Persoonsgegevens betreffende de betrokkene in het bezit van de Verwerker.
7. VERLENEN VAN BIJSTAND BIJ DE VERZOEKEN VAN DE BETROKKENEN
7.1 Rekening houdend met de aard van de Verwerking, verleent de Verwerker de Verwerkingsverantwoordelijke door middel van passende technische en organisatorische maatregelen bijstand bij het vervullen van de plicht van de Verwerkingsverantwoordelijke om verzoeken tot uitoefening van de rechten van de Betrokkene, zoals bepaald in de Wetgeving Gegevensbescherming, te beantwoorden.
- dat de Verwerker alle door de Verwerkingsverantwoordelijke opgevraagde Persoonsgegevens bezorgt, binnen de door de Verwerkingsverantwoordelijke verzochte (redelijke) tijdsspanne, in ieder geval met inbegrip van de volledige details en kopieën van de klacht, mededeling of aanvraag en enige Persoonsgegevens in zijn bezit met betrekking tot een Betrokkene;
- dat de Verwerker zulke technische en organisatorische maatregelen implementeert die de Verwerkingsverantwoordelijke toelaten doeltreffend en tijdig te antwoorden op relevante klachten, mededelingen of aanvragen.
7.2 In het verlengde van artikel 7.1 verbindt de Verwerker zich ertoe de Verwerkingsverantwoordelijke onverwijld in te lichten indien hij van een Betrokkene (of derde handelend voor rekening van een betrokkene) een van de volgende verzoeken krijgt:
- een aanvraag tot inzage tot de Persoonsgegevens die van de Betrokkene worden verwerkt;
- een aanvraag tot rectificatie van onjuiste Persoonsgegevens;
- een aanvraag tot wissing van Persoonsgegevens;
- een aanvraag tot beperking van de Verwerking van Persoonsgegevens;
- een aanvraag tot het verkrijgen van een draagbare kopie van de Persoonsgegevens, of tot overdracht van een kopie aan een derde;
- een bezwaar tegen enige Verwerking van Persoonsgegevens; of
- elke andere aanvraag, klacht of mededeling met betrekking tot de verplichtingen van de Verwerkingsverantwoordelijke onder de Wetgeving Gegevensbescherming.
De Verwerker beantwoordt de verzoeken en aanvragen van de betrokkenen niet zelf, behoudens eventuele andersluidende schriftelijke afspraken tussen de Verwerkingsverantwoordelijke en de Verwerker.
8. RECHT OP CONTROLE DOOR DE VERWERKINGSVERANTWOORDELIJKE
8.1 De Verwerkingsverantwoordelijke kan één keer per kalenderjaar de naleving door de Verwerker van het Addendum controleren.
De Verwerker stelt de Verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om de nakoming van de verplichtingen in het kader van de Wetgeving Gegevensbescherming aan te tonen.
De Verwerkingsverantwoordelijke heeft de mogelijkheid om een onafhankelijke audit te laten uitvoeren bij de Verwerker door een onafhankelijke derde die door de Verwerkingsverantwoordelijke wordt aangeduid.
De Verwerker kan redelijke bezwaren laten gelden met betrekking tot de keuze van deze auditor, behoudens indien deze de auditafdeling van KPMG, PWC, Deloitte en Accenture zou zijn.
Deze audit zal op kosten van de Verwerkingsverantwoordelijke geschieden en zal de normale werking van de Verwerker niet storen. De door de Verwerkingsverantwoordelijke aangestelde auditor zal vooraf een vertrouwelijkheidsovereenkomst met de Verwerker ondertekenen. Het door hem te voeren onderzoek en op te stellen verslag zal enkel betrekking hebben op het nazicht van de naleving van passende technische en organisatorische maatregelen die nodig zijn om de nakoming van de verplichtingen in het kader van de Wetgeving Gegevensbescherming en onderhavig Addendum te waarborgen.
De Verwerker zal aan de aangestelde auditor eveneens inzage verlenen in de overeenkomsten die hij heeft gesloten met alle Subverwerkers die betrokken zijn bij de Verwerking van Persoonsgegevens.
9. AANSPRAKELIJKHEID
9.1 Partijen zijn ieder verantwoordelijk en aansprakelijk voor hun eigen handelen. De in dit artikel geregelde aansprakelijkheid heeft uitsluitend betrekking op de aansprakelijkheid ten gevolge van een inbreuk op de Wetgeving Gegevensbescherming en op dit Addendum.
9.2 De bepalingen van dit Addendum hebben niet tot doel om de mogelijke aansprakelijkheid van de Verwerker te beperken of uit te sluiten: (i) ingevolge overlijden of lichamelijk letsel ten gevolge van een fout van de Verwerker; (ii) ingevolge een opzettelijke fout of bedrog; (iii) op enige andere wijze wanneer die ingevolge een wettelijke bepaling niet kan worden uitgesloten en/of beperkt.
Indien de Verwerker aangesproken wordt door de Verwerkingsverantwoordelijke tot schadevergoeding ingevolge de niet naleving van dit Addendum of de Wetgeving Gegevensbescherming, dan zal de totale aansprakelijkheid van de Verwerker beperkt zijn tot de vergoeding van de materiële schade geleden door de Verwerkingsverantwoordelijke met het hoogste bedrag van de twee volgende mogelijkheden, zijnde ofwel 10.000 euro per gebeurtenis en per kalenderjaar ofwel het
totaal van de gefactureerde software en diensten in het vorige kalenderjaar (de waarde van de aankoop van hardware wordt uitgesloten van deze berekening).
Een reeks van samenhangende feiten wordt voor de toepassing van dit artikel als één gebeurtenis beschouwd.
De verwerker is niet aansprakelijk voor enige vorm van indirecte schade zoals, maar niet beperkt tot, ondernemingsstagnatie, verminderde goodwill, gemiste besparingen, gederfde winst, reputatieschade of enige andere vorm van indirecte incidentele of gevolgschade, ongeacht de aard van de handeling.
9.3 De Partijen dragen zorg voor een afdoende verzekeringsdekking van hun aansprakelijkheid.
9.4 De aansprakelijkheidsbeperkingen en -uitsluitingen zoals voorzien in dit artikel 9.1 en
9.2 gelden enkel tussen de Verwerkingsverantwoordelijke en de Verwerker, voor wat de gebeurlijke aansprakelijkheid betreft van de Verwerker. Dit doet geen afbreuk aan (i) het vorderingsrecht op grond van artikel 82.1 AVG en (ii) aan de vordering in vrijwaring op grond van artikel 82.5 AVG.
10. EINDE VAN DE OVEREENKOMST
10.1 Deze overeenkomst vormt een geheel met de Basisovereenkomst en volgt dan ook het lot van de Basisovereenkomst. Ingeval de Basisovereenkomst een einde neemt, blijven de bepalingen van dit Addendum evenwel gelden voor zover nodig voor de afwikkeling van de verplichtingen conform de Wetgeving Gegevensbescherming.
10.2 Onmiddellijk bij (eender welke) beëindiging of verstrijken van de Basisovereenkomst, dan wel na afloop van de bewaartermijn, zal de Verwerker – naar keuze van de Verwerkingsverantwoordelijke – de Persoonsgegevens terugbezorgen aan de Verwerkingsverantwoordelijke en/of de Persoonsgegevens volledig en onherroepelijk wissen, en bestaande kopieën verwijderen. In het geval de Verwerkingsverantwoordelijke kiest voor het verwijderen van de Persoonsgegevens, zal de Verwerker op schriftelijk verzoek van de Verwerkingsverantwoordelijke aantonen dat de verwijdering daadwerkelijk gebeurd is.
Bij stilzwijgen van de Verwerkingsverantwoordelijke inzake het lot van de Persoonsgegevens na de beëindiging of het verstrijken van de Basisovereenkomst, zal de Verwerker de Persoonsgegevens verwijderen uiterlijk drie (3) maanden na de beëindiging of het verstrijken van de Basisovereenkomst. De Verwerkingsverantwoordelijke verbindt zich ertoe om tijdens de gehele duur van de Basisovereenkomst over een adequate back-up van de Persoonsgegevens te beschikken.
11. SLOTBEPALINGEN
11.1 Behalve indien anders vermeld in dit Addendum, kan iedere kennisgeving die de Verwerker doet, rechtsgeldig gebeuren: (i) per brief; (ii) via e-mail op een door de Verwerkingsverantwoordelijke gebruikt e-mailadres; (iii) via het online platform van de Verwerker.
Elektronische communicatie van de Verwerker aan de Verwerkingsverantwoordelijke heeft dezelfde bindende kracht als een kennisgeving per gewone brief.
11.2 Deze Verwerkersovereenkomst en alle informatie die door de Partijen verstrekt wordt in uitvoering van deze Verwerkersovereenkomst is vertrouwelijk en kan, naargelang het geval, als een bedrijfsgeheim in de zin van titel 8/1, boek XI WER worden beschouwd.
11.3 Deze Verwerkersovereenkomst is deelbaar. Indien één of meer bepalingen die niet de essentie van de Verwerkersovereenkomst aanbelangen, geheel of gedeeltelijk ongeldig, nietig of onuitvoerbaar worden verklaard, dan zal dit de geldigheid en uitvoerbaarheid van de overige bepalingen niet aantasten. De Verwerkersovereenkomst zal in dat geval blijven bestaan tussen de Verwerker en de Verwerkingsverantwoordelijke. De ongeldig, nietig of onuitvoerbaar verklaarde bepaling zal dan als niet geschreven worden beschouwd. De Verwerker en de Verwerkingsverantwoordelijke zullen onderhandelingen aanknopen en de kwestieuze bepaling vervangen door een rechtsgeldige bepaling die de oorspronkelijke bepaling zo dicht als mogelijk benadert.
11.4 Wanneer de Verwerker de Verwerkingsverantwoordelijke bijstaat zoals beschreven in Artikels 6.1 en 7.1 kan de Verwerker hiervoor een redelijke vergoeding vragen aan de Verwerkingsverantwoordelijke.
11.5 De Verwerker heeft het recht om wijzigingen aan annex 1, 2 en/of 3 van deze Verwerkersovereenkomst aan te brengen, middels voorafgaandelijke kennisgeving aan de Verwerkingsverantwoordelijke.
De aldus gewijzigde annex gaat in op de eerste dag van de maand volgend op deze kennisgeving, zonder dat deze termijn korter kan zijn dan vijftien (15) dagen.
Indien de Verwerkingsverantwoordelijke zich niet binnen de vijftien (15) kalenderdagen na deze kennisgeving verzet tegen de inwerkingtreding, zal de wijziging geacht worden aanvaard te zijn.
Het verder beroep blijven doen door de Verwerkingsverantwoordelijke op de Verwerker geldt als een aanvaarding door de Verwerkingsverantwoordelijke van de aldus gewijzigde annex.
11.6 Deze Verwerkersovereenkomst wordt geregeld door en uitgelegd in overeenstemming met het Belgisch recht. Alle geschillen die voortvloeien uit deze Verwerkersovereenkomst behoren uitsluitend tot de bevoegdheid van de hoven en rechtbanken van het gerechtelijk arrondissement Gent, afdeling Gent.
Aldus overeengekomen en in tweevoud opgemaakt te (Plaats) op
/ / (Datum).
(Naam) CMS NV
De Verwerkingsverantwoordelijke De Verwerker
Bijzonder gevolmachtigde
(Handtekening voor akkoord)
Xxxx Xxx Xxxxxxxxx
vast vertegenwoordiger van Essensys NV
gedelegeerd bestuurder
Annexen
Annex 1: de Verwerkingsopdracht en -instructies zoals bepaald door de Verwerkingsverantwoordelijke
Annex 2: de informatiebeveiliging
Annex 3: modelformulier melding gegevenslekken
1
Annex 1 - De Verwerkingsopdracht- en instructies zoals bepaald door de
Verwerkingsverantwoordelijke
Begeleidende nota
In deze Annex worden de specifieke Verwerkingen door De Verwerker beschreven waartoe de Verwerkingsverantwoordelijke opdracht geeft op het ogenblik van het sluiten van de Basisovereenkomst dan wel bij ondertekening van het Addendum.
Wijzigingen en/of aanvullingen van deze Annex 1 gebeuren telkens via een afzonderlijk document dat als bijlage bij deze Annex 1 wordt gevoegd (Bijlage 1 bij Annex 1; Bijlage
2 bij Annex 1, enz.), dat wordt gedateerd en waaruit de expliciete en schriftelijke instructie en/of instemming van de Verwerkingsverantwoordelijke blijkt.
I. Het doel van de Verwerking van Persoonsgegevens
De Verwerking van Persoonsgegevens door de Verwerker gebeurt in het kader van de uitvoering van de Basisovereenkomst.
Beschrijving van de diensten onder het Addendum en van de aard en het doel van de Verwerking van Persoonsgegevens in het kader van: leveren van software, hardware en bijhorende onderhouds- en interventiediensten. Meer bepaald: het onder licentie geven van software, het hosten van software en data, de installatie van de software en hardware en het leveren van assistentie voor deze software en hardware.
II. De categorieën van Persoonsgegevens die de Verwerkingsverantwoordelijke mogelijks laat verwerken door de Verwerker :
- Identificatiegegevens;
- Financiële bijzonderheden;
- Persoonlijke kenmerken;
- Fysieke gegevens;
- Leefgewoonten;
- Psychische gegevens;
- Samenstelling van het gezin;
- Vrijetijdsbesteding en interesses;
- Consumptiegewoonten;
- Woningkenmerken;
- Gegevens betreffende de gezondheid;
- Opleiding en vorming;
- Beroep en betrekking;
- Rijksregisternummer/Identificatienum mer van de sociale zekerheid;
- Raciale of etnische gegevens;
- Gegevens over het seksuele leven;
- Beeldopnamen;
- Geluidsopnamen;
- Genetische gegevens;
- Locatiegegevens.
III. De categorieën van betrokkenen van wie de Persoonsgegevens verwerkt:
o Patiënten en ex-patiënten van de Verwerkingsverantwoordelijke
o Personen vermeld door patiënten en relevant voor opvolging van de patiënt door de Verwerkingsverantwoordelijke
o Medewerkers van de Verwerkingsverantwoordelijke (personeelsleden, personeelseden van verbonden vennootschappen, zelfstandige medewerkers)
o Andere zorgverleners en hun medewerkers in relatie met de Verwerkings- verantwoordelijke of de patiënten/ex-patiënten
o Andere (te specificeren):
…………………………………………………………………………………………………
……… (andere categorieën).
IV. De Verwerking van de Persoonsgegevens:
De Verwerkingsverantwoordelijke geeft hierbij de volgende instructies tot Verwerking van de Persoonsgegevens (onverminderd de instructies die rechtstreeks voortvloeien uit de bepalingen van de Basisovereenkomst of dit Addendum of die redelijkerwijs vereist zijn voor de juiste uitvoering door de Verwerker van zijn verplichtingen):
o Persoonsgegevens raadplegen
Het gaat om diensten van de Verwerker waarbij de Persoonsgegevens van de Verwerkingsverantwoordelijke bekeken kunnen worden door medewerkers of Onderaannemers van e Verwerker, waaronder maar niet beperkt tot, servicedesk diensten, (remote) monitoring diensten, system management diensten, technisch applicatie management, vulnerability scanning diensten, rapporting diensten in governance en software asset management diensten.
o Opslag van Persoonsgegevens
Het gaat om diensten van de Verwerker waarbij de Persoonsgegevens van de Verwerkingsverantwoordelijke opgeslagen worden in een door de Verwerker geleverd opslagsysteem zoals onder meer maar niet beperkt tot cloud storage diensten, cloud backup diensten, file diensten, directory diensten, managed file transfer, mail & calendaring and logfile processing.
o Persoonsgegevens doorzenden
Het betreft diensten van de Verwerker waarbij Persoonsgegevens van de Verwerkingsverantwoordelijke verzonden worden van, naar of tussen applicaties op een door de Verwerker beheerd platform zoals onder meer maar niet beperkt tot LAN diensten, Wide Area Network diensten, data center interconnectiviteitsdiensten, Loadbalancing, SAN switch interconnects en diensten die geleverd worden over de Voice over Internet Protocol (VoIP).
o Persoonsgegevens bijwerken of wijzigen
Het betreft diensten van de Verwerker waarbij Persoonsgegevens van de Verwerkingsverantwoordelijke aangepast kunnen worden zowel op manuele, als op geautomatiseerde wijze zoals bij een geautomatiseerde job flow die ondersteund wordt door een job scheduling system.
o Software testen
Het gaat om diensten van de Verwerker waarbij databanken van de Verwerkingsverantwoordelijke die Persoonsgegevens bevatten (Persoonsgegevens die niet geanonimiseerd zijn), worden gebruikt buiten de productie omgeving (in test, acceptatie,…) als onderdeel van het testproces van de software applicatie van de Verwerkingsverantwoordelijke.
V. Geschatte duur van de Verwerking
De hele duur van de Basisovereenkomst verlengd met drie maanden.
VI. Doorgifte van Persoonsgegevens buiten de EER door de Verwerker
De Verwerkingsverantwoordelijke geeft hierbij de expliciete toestemming om de gegevens door te geven naar Tunesië aan de firma PC SOL, Xxx xx Xxx Xxxx xx Xxxx, Xxx Xxxxxx du Lac, 1053 Tunis. PC Xxx is een 100% dochtervennootschap van de Verwerker, waar de Verwerker beroep op doet voor ondersteunende diensten, helpdesk, data-conversie, softwareontwikkeling en mogelijks andere activiteiten.
PC Xxx biedt passende waarborgen aan voor wat betreft de Verwerking in Tunesië overeenkomstig artikel 46 AVG.
VII. De bewaartermijnen van de (verschillende categorieën) Persoonsgegevens:
De Verwerker bewaart de verwerkte Persoonsgegevens op adequaat beveiligde wijze gedurende de periode die nodig is voor het uitvoeren van de schriftelijke instructies van de Verwerkingsverantwoordelijke, en voor wat de onderstaande categorieën Persoonsgegevens betreft gedurende de hierna bepaalde periode:
- Voor het hosten van gegevens gedurende de hele duur van de Basisovereenkomst en tot 3 maanden na de beëindiging van de overeenkomst.
- Voor Interventies en assistentie gedurende de tijd nodig voor de interventie en assistentie. De gegevens worden ten laatste 1 week na het beëindigen van de interventie en assistentie verwijderd van al de systemen.
- Voor het maken van testen, voor een termijn dat onderling in een aparte schriftelijke (e- mail, brief of het online platform van de Verwerker) overeenkomst wordt gedefinieerd. Bij gebreke van het bepalen van een termijn worden de Persoonsgegevens ten laatste 1 week na het beëindigen van de testing verwijderd van al de systemen.
VIII. De contactgegevens van de Data Protection Officer (DPO) Voor de Verwerkingsverantwoordelijke
De gegevens van de DPO van de Verwerkingsverantwoordelijke worden specifiek gecommuniceerd aan CMS en bijgehouden in het klantenbeheerssysteem van CMS. De Verwerkingsverantwoordelijke houdt CMS op de hoogte van elke wijziging van DPO of de contactgegevens ervan. Indien CMS niet over deze specifieke gegevens beschikt, zal het de ondertekenaar van de Basisovereenkomst beschouwen als contactpersoon.
Voor de Verwerker
De contactgegevens van onze DPO kunnen geraadpleegd worden via de volgende link: xxx.xxxxxxx.xx/xxxxxxxxxxxxxx en ten allen tijde opgevraagd worden via het algemeen telefoonnummer van CMS.
Annex 2 – De informatiebeveiliging
Naam van de organisatie | Benaming: Computer Management and Services (CMS) NV Adres: Xxxxxxxxxxxxxx 00/X, 0000 Xxxxxxxxx Ondernemingsnummer (KBO): 426.795.644 |
Voornaam, naam & email adres van de verantwoordelijke voor informatieveiligheid | De contactgegevens van de verantwoordelijke voor de informatieveiligheid (intern genaamd “CISO”) kunnen geraadpleegd worden via de volgende link: xxx.xxxxxxx.xx/xxxxxxxxxxxxxx en ten allen tijde opgevraagd worden via het algemeen telefoonnummer van CMS. |
Voornaam, naam & email adres van het aanspreekpunt voor informatieveiligheid | De contactgegevens van het aanspreekpunt voor de informatieveiligheid (intern genaamd “adjunct CISO”) kunnen geraadpleegd worden via de volgende link: xxx.xxxxxxx.xx/xxxxxxxxxxxxxx en ten allen tijde opgevraagd worden via het algemeen telefoonnummer van CMS. |
Voornaam, naam & email adres van de functionaris voor gegevensbescherming | De contactgegevens van onze DPO kunnen geraadpleegd worden via de volgende link: xxx.xxxxxxx.xx/xxxxxxxxxxxxxx en ten allen tijde opgevraagd worden via het algemeen telefoonnummer van CMS. |
Voornaam, naam & email adres van het lokale aanspreekpunt voor gegevensbescherming | De contactgegevens van het lokale aanspreekpunt voor gegevensbescherming (intern genaamd “adjunct DPO”) kunnen geraadpleegd worden via de volgende link: xxx.xxxxxxx.xx/xxxxxxxxxxxxxx en ten allen tijde opgevraagd worden via het algemeen telefoonnummer van CMS. |
CMS biedt de Verwerkingsverantwoordelijke een tabel aan met individuele maatregelen die CMS neemt als antwoord op vragen van de Verwerkersverantwoordelijke. Omdat deze lijst steeds evolueert, biedt CMS deze online aan via xxxxx://xxx.xxxxxxxxxxx.xxx/xxx/xxxxxxxxxxxxxxx. Zo beschikt u steeds over de laatste stand van zaken.
Pagina 1 van 1
Annex 3 – Modelformulier melding gegevenslekken
Gegevens contactpersoon van de Verwerkingsverantwoordelijke (bereikbaar 24/7): |
Dienst: |
Telefoonnummer |
Datum : |
Bedrijfsnaam : |
Adres: |
Postcode: |
BTW-nummer |
Wie heeft de inbreuk geconstateerd? |
Naam: |
Functietitel: |
Wanneer is de inbreuk geconstateerd: |
Datum: |
Tijd: |
Omschrijf het beveiligingsincident waarbij de inbreuk op de beveiliging van Persoonsgegevens zich heeft voorgedaan: |
Wanneer heeft de inbreuk plaatsgevonden? |
a. Op (datum + tijd) |
b. Tussen (datum + tijd) en (datum + tijd) |
c. Is nog niet vastgesteld |
d. Er is sprake van een anonieme melding door een derde |
Vastleggen context van de data betrokken bij de inbreuk : |
Classificatie van de data : |
a. Geen, de gegevens zijn niet herleidbaar tot een individu |
b. NAW-gegevens |
c. Telefoonnummers |
d. E-mailadressen, Facebook ID’s, Twitter ID’s etc. |
e. Gebruikersnamen, wachtwoorden of andere inloggegevens, klantnummers |
f. Financiële gegevens : rekeningnummers, creditcardnummers |
g. Rijksregisternummer |
h. Kopieën van identiteitsbewijzen |
i. Geslacht, geboortedatum, en/of leeftijd |
j. Gegevens over iemands godsdienst of levensovertuiging, ras, politieke gezindheid of lidmaatschap van een vakvereniging |
k. Gegevens over iemands gezondheid of seksuele geaardheid |
l. Strafrechtelijke Persoonsgegevens of Persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag |
m. Gegevens over iemand financiële of economische situatie, gegevens over schulden, salaris- en betalingsgegevens |
n. Afgeleide financiële data (inkomenscategorie, huizenbezit, autobezit) |
o. Lifestyle kenmerken (o.a. gezinssamenstelling, woonsituatie, interesses, demografische kenmerken (leeftijd, geslacht, nationaliteit, beroep, onderwijs) |
p. Data verkregen uit (openbare) sociale profielen (Facebook-, LinkedIn- en Twitteraccounts, …) |
q. Overig, namelijk : |
Classificatie van de context betrokken bij de inbreuk : |
Van hoeveel personen zijn Persoonsgegevens betrokken bij de inbreuk? |
a. Geen, de gegevens zijn niet herleidbaar tot een individu |
b. Nog niet vastgesteld |
c. Ten minste …………………………………… (aantal), maar niet meer dan …………………………..(aantal) betrokkenen |
Omschrijf de groep mensen waarvan Persoonsgegevens zijn betrokken bij de inbreuk: |
Omstandigheden van de gegevenslek : |
a. Alleen lezen (een niet geautoriseerde derde heeft (vertrouwelijke) data kunnen inzien. Verwerker heeft de data nog in zijn bezit.) - confidentialiteit is in gevaar |
b. Kopiëren (een niet-geautoriseerde derde heeft data kunnen kopiëren. De data is ook nog in het bezit van Verwerker.) - confidentialiteit is in gevaar |
c. Wijzigen (een niet-geautoriseerde derde heeft data (kunnen) wijzigen in systemen van Verwerker - Integriteit is in gevaar |
d. Verwijderen of vernietigen (een niet-geautoriseerde derde heeft data verwijderd uit de systemen van Verwerker of data vernietigd.) - Beschikbaarheid is in gevaar |
e. Diefstal - Beschikbaarheid is in gevaar |
f. Nog niet bekend |
Zijn de Persoonsgegevens onbegrijpelijk of ontoegankelijk gemaakt voor ongeautoriseerde derden, bijvoorbeeld door encryptie en hashing ? |
Ja |
Nee |
Deels, namelijk |
Zo ja, op welke manier zijn de Persoonsgegevens versleuteld: |
Heeft de inbreuk betrekking op personen uit andere EU-landen? |
Ja |
Nee |
Zo ja, welke EU-landen: |
Welke beveiligingsmaatregelen (technisch en organisatorisch) zijn getroffen om de inbreuk aan te pakken en om verdere inbreuken te voorkomen? |
Wie kan benaderd worden voor meer informatie over de inbreuk? |
Naam contactpersoon van de Verwerker: |
E-mail : |
Telefoonnummer: |