EN
- Klanten van Trustteam, verder aangeduid als de “Klant” of “Verwerkingsverantwoordelijke”;
EN
-
- Trustteam NV, gevestigd te Evolis 78 – 8500 Kortrijk, met ondernemingsnummer 0477.005.418, vertegenwoordigd door T.T. Holdings NV, bestuurder, met als vaste
vertegenwoordiger Xxxxxx Xxxxxxxxxxxx, en verder aangeduid als de “Trustteam” of “Verwerker”.
Context en voorafgaande overwegingen
i. De Klant beschikt over persoonsgegevens die hij in het kader van een onderliggende dienstenovereenkomst(en) met Trustteam (de “Overeenkomst”) doorgeeft aan de Trustteam als Verwerker, die deze gegevens verwerkt ten behoeve van de Klant als Verwerkingsverantwoordelijke.
ii. In deze overeenkomst inzake gegevensverwerking in de zin van artikel 28.3 AVG (de “Verwerkersovereenkomst”) worden de voorwaarden en modaliteiten vastgelegd van deze gegevensverwerking.
iii. De huidige versie van de Verwerkersovereenkomst vervangt alle vorige versies.
Artikel 1: Definities
In deze Verwerkersovereenkomst zullen volgende woorden of uitdrukkingen, wanneer met hoofdletter geschreven, de volgende betekenis hebben:
“AVG”: Verordening (EU) 2016/679 van 27 april 2016 (Algemene Verordening Gegevensbescherming);
“Diensten”: de door Trustteam in opdracht van de Klant uitgevoerde IT-diensten zoals nader omschreven in de Overeenkomst;
D-AFH-012 Verantwoordelijke: CEO
Datum opmaak 30/05/2018 Revisiedatum: 09/05/2023 Pagina 1 van 14
2018, en/of alle andere wetgeving van elk ander land met betrekking tot de bescherming van persoonsgegevens of privacy.
“Persoonsgegevens”, “Verwerking”, “Verwerken” of “Verwerkt”, Verwerkingsverantwoordelijke”, “Verwerker” en “Betrokkene(n)” en/of andere definities of begrippen specifiek in het kader van gegevensbescherming zullen de betekenis hebben zoals gedefinieerd in artikel 4 AVG en zoals nader omschreven 4 hieronder.
“Datalek” heeft de betekenis van een “inbreuk in verband met persoonsgegevens” in de zin van artikel 4, 12) AVG.
De overige woorden of uitdrukkingen met een hoofdletter zullen de betekenis hebben zoals gedefinieerd in de Overeenkomst.
Artikel 2: Algemeen
1.1 De bepalingen van deze Verwerkersovereenkomst zijn slechts van toepassing indien en voor zover Trustteam in het kader van de Overeenkomst ten behoeve van de Klant Persoonsgegevens van Betrokkenen verwerkt.
1.2 De partijen verbinden zich er toe de bepalingen van Wetgeving inzake gegevensbescherming na te leven.
1.3 De Verwerkersovereenkomst wordt gevoegd bij de Overeenkomst om er integraal deel van uit te maken. In geval van tegenstrijdigheid tussen de Overeenkomst en de Verwerkersovereenkomst hebben de bepalingen van de Verwerkersovereenkomst altijd voorrang. De bepalingen van de Overeenkomst die niet worden getroffen door de Verwerkersovereenkomst blijven ongewijzigd en onverkort van toepassing.
1.4 De Verwerkersovereenkomst is onderworpen aan het Belgische recht. Enkel de rechtbanken van Kortrijk, afdeling(en) Kortrijk, zijn bevoegd om kennis te nemen van enig geschil betreffende de geldigheid, interpretatie of uitvoering van deze Overeenkomst.
2
1.5 De eventuele nietigheid of niet-toepasbaarheid van een of meerdere bepalingen van huidige Verwerkersovereenkomst, leidt niet tot de nietigheid van de gehele Verwerkersovereenkomst. In geval één van de clausules van deze Verwerkersovereenkomst enige wettelijke beperking overschrijdt, zal de betreffende bepaling of het gedeelte ervan niet nietig zijn, maar worden partijen geacht te zijn overeengekomen dat deze bepaling of het strijdige gedeelte ervan wordt verminderd of beperkt tot het maximum dat is toegestaan onder het toepasselijke recht en zal elke bepaling of het gedeelte ervan die/dat deze limieten overschrijdt, van rechtswege worden aangepast of vervangen door een geldige clausule die zo nauw mogelijk aansluit bij de bedoeling van partijen.
Artikel 2: Duur van de overeenkomst
Deze Verwerkersovereenkomst wordt gesloten voor een periode die gelijk is aan de duur van de Overeenkomst of zolang de Diensten worden verricht.
Artikel 3: Omschrijving van de Verwerking – instructies van de Klant
3.1 Tenzij de wet anders voorschrijft, mag Trustteam Persoonsgegevens alleen Verwerken op gedocumenteerde instructies van de Klant en ten behoeve van de Klant, in overeenstemming met de bepalingen van deze Verwerkersovereenkomst. Deze Verwerkersovereenkomst en de Overeenkomst bevatten samen de volledige instructies van de Klant aan Trustteam voor de Verwerking van Persoonsgegevens. Eventuele aanvullende of alternatieve instructies moeten afzonderlijk en schriftelijk worden meegedeeld en door de partijen worden aanvaard.
3.2 De Klant verklaart en garandeert dat hij gerechtigd is en blijft om voornoemde instructies te geven namens elke onderneming waarmee hij verbonden is en die (al dan niet samen met de Klant) de Verwerkingsverantwoordelijke is of kan zijn.
3.3 Indien Trustteam moet voldoen aan wettelijke voorschriften op grond waarvan hij Persoonsgegevens moet Verwerken buiten de specifieke instructies van de Klant om, is hij verplicht de Klant daarvan in kennis te stellen voordat hij de Persoonsgegevens Verwerkt.
3
Artikel 4: Verplichtingen van de Klant
4.1 De Klant zal de Wetgeving inzake gegevensbescherming naleven. Hij neemt alle passende en organisatorische maatregelen om ervoor te zorgen dat de Verwerking van Persoonsgegevens in overeenstemming is met de AVG. In het bijzonder zal de Klant de nodige maatregelen treffen met betrekking tot de door hem ter beschikking gestelde, beheerde of gecontroleerde onderdelen, met inbegrip van de werkstations van waaruit verbinding wordt gemaakt met de Diensten van Trustteam en de systemen die worden gebruikt voor de overdracht van gegevens, en zal hij de nodige maatregelen treffen met betrekking tot zijn personeel en zijn aangestelden (met inbegrip van werknemers, onderaannemers en freelancers).
4.2 De Klant is verantwoordelijk voor de wettelijkheid (van het verzamelen en/of Verwerken) van Persoonsgegevens die door Trustteam worden Verwerkt in het kader van de Overeenkomst. De Klant garandeert dat hij alle nodige maatregelen zal treffen om de Persoonsgegevens bij te werken en om onvolledige of onjuiste gegevens te wissen en/of te corrigeren.
4.3 De Klant verklaart en garandeert dat:
- hij bij het inzamelen en Verwerken van Persoonsgegevens van Betrokkenen de toepasselijke Wetgeving inzake gegevensbescherming heeft nageleefd en de Verwerking van Persoonsgegevens in het kader van de Overeenkomst rechtmatig is;
- hij de Betrokkenen voldoende heeft geïnformeerd over hun rechten en plichten (overeenkomstig de artikelen 13-14 AVG), met name over de Verwerking door Trustteam (of een categorie dienstverleners zoals Trustteam) namens en in opdracht van de Klant;
- zijn personeel en aangestelden (met inbegrip van werknemers, onderaannemers en zelfstandige medewerkers/ freelancers) op de hoogte zijn van en zich zullen houden aan de verplichtingen die zijn opgenomen in de Overeenkomst en de Wetgeving inzake gegevensbescherming.
4
4.4 Indien de naleving van de Wetgeving inzake gegevensbescherming enige actie of maatregel van Trustteam vereist, naast de verplichtingen die voortvloeien uit de Overeenkomst, zal Trustteam deze actie of maatregel uitvoeren na voorafgaand overleg met en instemming van de Klant. In ieder geval zal de Klant Trustteam vooraf op de hoogte stellen van de vereiste handelingen of maatregelen, zijn volledige medewerking verlenen, Trustteam bijstand verlenen en Trustteam vergoeden conform de in de Overeenkomst vastgelegde tarieven, de op dat moment geldende tarieven dan wel de tussen partijen overeengekomen prijzen voor de diensten die aanvullende diensten, investeringen of aanpassingen van de Diensten vereisen.
4.5 Trustteam is evenwel niet verantwoordelijk voor de naleving van enige wetgeving die op de Klant of diens activiteiten van toepassing is en die niet algemeen of specifiek op Trustteam van toepassing is.
Artikel 5: Doorgiftes
5.1 In principe worden er in het kader van de Diensten geen Persoonsgegevens doorgegeven aan landen buiten de Europese Economische Ruimte (EER). Elke eventuele doorgifte van Persoonsgegevens aan ((groeps)vennootschappen, derden, dienstverleners of servers in) landen buiten de EER, zal in ieder geval gebeuren in overeenstemming met de Wetgeving inzake gegevensbescherming.
5.2 Trustteam zal de Persoonsgegevens die zij Verwerkt ten behoeve van de Klant Verwerken in elk land waar Trustteam, aan haar verbonden ondernemingen en/of dienstverleners, onderaannemers of subverwerkers die overeenkomstig artikel 6 zijn geautoriseerd, vestigingen hebben. De Klant machtigt Trustteam uitdrukkelijk om elke doorgifte van Persoonsgegevens naar en elke Verwerking in dergelijk land uit te voeren in het kader van de Overeenkomst.
5.3 Trustteam heeft geen zeggenschap over en is niet verantwoordelijk voor de plaats waar de Klant of haar eindgebruikers Persoonsgegevens (kunnen) Verwerken. In ieder geval zal de Klant Trustteam volledig vrijwaren en schadeloos stellen voor eventuele schade die in dit verband door derden wordt geleden.
5
5.5 Trustteam garandeert dat de personen die door hem zijn aangewezen om de Persoonsgegevens te Verwerken, met inbegrip van zijn personeel, de vertrouwelijkheid van de Persoonsgegevens zullen respecteren en contractueel tot geheimhouding verplicht zijn of gebonden zijn door een adequate wettelijke geheimhoudingsplicht.
Artikel 6: Subverwerkers
6.1 De Verwerkingsverantwoordelijke erkent en laat uitdrukkelijk toe dat Trustteam voor de Verwerking van Persoonsgegevens subverwerkers kan inschakelen en Persoonsgegevens aan hen kan doorgeven. Op verzoek van de Verwerkingsverantwoordelijke kan Trustteam een actuele lijst van de subverwerkers van Trustteam bezorgen in het kader van de Diensten die de
Verwerkingsverantwoordelijke afneemt bij Trustteam.
6.2 Trustteam zal de Klant informeren over gebeurlijke wijziging(en) van subverwerker(s). Indien de Klant niet instemt met de Verwerking van Persoonsgegevens door een of meer subverwerkers en daartoe redelijke grond heeft, stelt de Klant Trustteam daarvan binnen vijftien (15) kalenderdagen na ontvangst van de kennisgeving schriftelijk in kennis. Indien het bezwaar niet onredelijk is, zal Trustteam redelijke inspanningen verrichten om de Klant oplossingen, wijzigingen of alternatieven aan te bieden om te voorkomen dat de betrokken subverwerker de Persoonsgegevens Verwerkt. Trustteam heeft recht op een vergoeding voor de in dit artikel bedoelde bijstand en medewerking bij wijziging(en) van subverwerker op verzoek van de Verwerkingsverantwoordelijke, dit op basis van de standaard uurtarieven van Trustteam of de op dat moment geldende of tussen partijen overeengekomen tarieven.
6.3 Trustteam zal met elke dergelijke subverwerker schriftelijke overeenkomsten sluiten die verplichtingen bevatten die niet minder beschermend zijn dan de verplichtingen van Trustteam op basis van deze Verwerkersovereenkomst en in het bijzonder met betrekking tot de verplichting(en) voor het nemen van passende beveiligingsmaatregelen opdat de Verwerking aan de Wetgeving inzake gegevensbescherming voldoet.
6
Artikel 7: Beveiligingsmaatregelen
7.1 Trustteam neemt alle overeenkomstig artikel 32 AVG vereiste passende technische en organisatorische maatregelen inzake de beveiliging van de Verwerking. Deze beveiligingsmaatregelen zullen een beschermingsniveau waarborgen dat passend is voor de risico’s verbonden aan de Verwerking en de aard van de te beschermen Persoonsgegevens, rekening houdend met de stand van de technologie en de kosten van hun implementatie.
7.2 De door Trustteam genomen beveiligingsmaatregelen worden opgelijst in bijlage 2 van deze Verwerkersovereenkomst. Op verzoek van de Klant kan Trustteam een bijgewerkte omschrijving van de geïmplementeerde beveiligingsmaatregelen bezorgen.
Artikel 8: Bijstand en medewerking
8.1 Rekening houdende met de aard van de Verwerking van Persoonsgegevens en voor zover mogelijk, zal Trustteam bijstand en medewerking verlenen aan de Klant bij het (doen) nakomen van zijn verplichtingen op grond van de Wetgeving inzake gegevensbescherming, in het bijzonder opdat de Klant gevolg kan geven aan zijn verplichting(en) om te reageren op een verzoek tot uitoefening van de rechten van de Betrokkene (zoals omschreven in de artikelen 15 tot en met 22 AVG). De Klant zal de Betrokkenen in staat stellen hun rechten uit te oefenen. De Klant zal de Betrokkenen, overeenkomstig de artikelen 13-14 GDPR, alle nodige informatie verstrekken met betrekking tot de Verwerking van Persoonsgegevens. Indien een Betrokkene rechtstreeks contact opneemt met Trustteam met het oog op inzage/kopie, rectificatie, verwijdering of beperking van de Verwerking van zijn/haar Persoonsgegevens, zal Trustteam de Betrokkene doorverwijzen naar de Klant. De Klant zal de Betrokkene mededelen dat hij zijn rechten alleen jegens de Klant kan uitoefenen. De Klant zal reageren op elk verzoek van een Betrokkene en zijn verplichtingen nakomen in overeenstemming met de Wetgeving inzake gegevensbescherming (met inbegrip van de AVG).
7
aan Trustteam aan de op dat moment geldende of tussen partijen overeengekomen prijzen.
8.4 Trustteam zal audits, met inbegrip van inspecties, door de Klant of een door de Klant aangewezen expert toestaan en daaraan haar medewerking verlenen. Daartoe kan de Klant op schriftelijk verzoek eenmaal per twaalf (12) maanden - behalve (i) indien de audit wordt verlangd door een bevoegde toezichthoudende autoriteit overeenkomstig de Wetgeving inzake gegevensbescherming of (ii) na een Datalek - en na voorafgaande schriftelijke kennisgeving van dertig (30) kalenderdagen, een expert verzoeken een audit of inspectie bij Trustteam uit te voeren. Voorafgaand aan een dergelijke audit of controle zal de Klant Trustteam informeren over de reikwijdte en duur ervan, en zal hij steeds met Trustteam overeenstemming bereiken over de modaliteiten. Trustteam zal de redelijke bijstand en medewerking verlenen die nodig zijn om dergelijke controles of audits uit te voeren. De partijen komen overeen dat de uitvoering van dergelijke controles of audits de activiteiten van Trustteam en/of de uitvoering van de diensten niet onnodig mag vertragen, verstoren of beperken. In geval van vertraging, verstoring of beperking zal Trustteam de Klant op de hoogte brengen en zullen de partijen zo spoedig mogelijk en in onderling overleg een oplossing trachten te vinden. De Klant zal Trustteam onmiddellijk schriftelijk in kennis stellen van eventuele tekortkomingen die bij een controle of audit worden geconstateerd. De Klant zal Trustteam kosteloos een ontwerp van (audit)verslag doen toekomen in dit verband. Dit verslag, alsmede alle andere informatie waartoe de Klant of de aangestelde deskundige toegang heeft gehad tijdens een controle of audit, is en blijft strikt vertrouwelijk. De kosten die voortvloeien uit een controle of een audit op verzoek van de Klant zijn volledig voor rekening van de Klant. De Klant kan geen aanspraak maken op enige vergoeding van Trustteam voor deze kosten.
8.5 De Verwerker zal de Verwerkingsverantwoordelijke alle informatie ter beschikking stellen die nodig is om aan te tonen dat de verplichtingen uit hoofde van artikel 28 van de GDPR worden nageleefd.
8.6 Trustteam heeft recht op een vergoeding voor de in dit artikel bedoelde bijstand en medewerking, op basis van de standaard uurtarieven van Trustteam of de op dat moment geldende of tussen partijen overeengekomen tarieven.
8
9.1 Op verzoek van de Klant zal Trustteam alle informatie verschaffen aan eerstgenoemde opdat hij aan zijn verplichtingen o.g.v. artikel 28 AVG kan voldoen.
9.2 Trustteam stelt de Klant onmiddellijk in kennis indien naar haar mening een instructie of opdracht van de Klant een inbreuk oplevert op de Wetgeving inzake gegevensbescherming.
Artikel 10: Datalekken
10.1 Trustteam informeert de Klant zo spoedig mogelijk en uiterlijk binnen 48 uur nadat zij kennis heeft gekregen van een Datalek in verband met de Diensten, ongeacht de oorzaak ervan.
10.2 De partij die verantwoordelijk is voor het Datalek zal het Datalek verder onderzoeken en de andere partij op de hoogte houden van nieuwe ontwikkelingen alsook van de maatregelen die worden getroffen en zullen worden getroffen om de gevolgen van het Datalek te beperken en herhaling ervan te voorkomen.
10.3 Partijen zullen meewerken aan dergelijk onderzoek en wederzijds bijstand verlenen bij het (doen) nakomen van hun verplichtingen krachtens de Wetgeving inzake gegevensbescherming, in het bijzonder de verplichting om op grond van artikel 33 AVG een Datalek te melden aan de bevoegde toezichthoudende autoriteit en/of de Betrokkene(n). Trustteam zal de Klant desgevallend daartoe de nodige informatie verstrekken.
10.4 Trustteam heeft recht op een vergoeding voor de in dit artikel bedoelde bijstand en medewerking, berekend op basis van haar standaarduurtarieven of de op dat moment tussen partijen overeengekomen tarieven, tenzij het Datalek, de inbreuk of het incident het gevolg is van een fout van Trustteam.
9
11.1 In geval van beëindiging van de Overeenkomst en/of deze Verwerkersovereenkomst zal Trustteam binnen zestig (60) dagen na voormelde beëindiging alle Persoonsgegevens in haar systemen (met uitzondering van een eventuele back-up of archief) wissen of anonimiseren, tenzij de Klant andersluidende instructies geeft of de (verdere) opslag of bewaring van de Persoonsgegevens wettelijk verplicht is, noodzakelijk is in het kader van een gerechtelijke of buitengerechtelijke procedure of wordt opgelegd door (gerechtelijke of toezichthoudende) autoriteiten.
11.2 Indien de Klant daartoe binnen dertig (30) dagen voor beëindiging van de Overeenkomst en/of deze Verwerkersovereenkomst een schriftelijk verzoek indient, zal Trustteam op kosten van de Klant, aan de standaard uurtarieven van Trustteam of de tussen partijen op dat moment overeengekomen tarieven, een kopie van de Persoonsgegevens in haar systemen overhandigen. Alle kosten voor teruggave van Persoonsgegevens alsook voor migratie of overdracht zijn integraal ten laste van de Klant aan voormelde tarieven.
Artikel 12: Intellectuele eigendomsrechten
Alle intellectuele eigendomsrechten, waaronder auteursrechten, databankrechten, merkenrechten, handelsnamen, domeinnamen en softwarerechten, op of in verband met de Diensten of verwerkingsactiviteiten (met uitsluiting van de Persoonsgegevens op zich), alsook op of in verband met kopieën of bewerkingen daarvan, blijven te allen tijde toebehoren aan Trustteam en/of haar licentiegevers. Geen enkele bepaling van deze Verwerkersovereenkomst kan worden opgevat als een volledige of gedeeltelijke overdracht van de rechten, zowel in eigendom als in (sub)licentie, aan Trustteam.
10
aansprakelijkheid onder de Overeenkomst zal mee in rekening gebracht worden voor het bepalen van de maximumaansprakelijkheid van de partijen in het kader van deze Verwerkersovereenkomst.
Voor het geval Trustteam aansprakelijk zou worden gesteld door de Klant en er zijn geen aansprakelijkheidsbeperkingen opgenomen in de Overeenkomst, dan is de totale aansprakelijkheid van Trustteam in ieder geval beperkt tot het laagste bedrag van: (i) de gedurende zes (6) laatste maanden door de Klant aan Trustteam betaalde vergoedingen krachtens de Overeenkomst (of indien de zes (6)maanden nog niet zijn verstreken, zes (6) keer de door de Klant aan Trustteam betaalde gemiddelde maandelijkse prijzen krachtens de Overeenkomst vanaf de datum van aanvang van de Overeenkomst tot de datum van het eerste schadeverwekkende feit; (ii) de dekking verleend door de BA verzekeraar van Trustteam krachtens de door deze laatste afgesloten relevante verzekeringspolis(sen) of (iii) een bedrag van 5.000,- EUR.
De Verwerker is niet aansprakelijk voor onrechtstreekse of gevolgschade, zoals (maar niet beperkt tot) winstderving, verlies van omzet, tijdsverlies, verlies van kansen of zakelijke opportuniteiten, verlies van cliënteel, verlies aan goodwill, verlies of corruptie van data (onverminderd de verplichtingen op grond van de Wetgeving inzake gegevensbescherming en deze Verwerkersovereenkomst) of enige andere vorm van economische schade.
Onverminderd artikel A.5 van de Overeenkomst en/of andere aansprakelijkheidsbepalingen, is de Klant aansprakelijk voor en vrijwaart hij Trustteam volledig, in hoofdsom, interesten en (juridische) kosten, voor alle schade (waaronder sancties (zoals administratieve boetes) opgelegd door toezichthouders (zoals de Gegevensbeschermingsautoriteit) en eventuele schade geleden door Xxxxxxxxxxx of Trustteam) die het gevolg is van het niet nakomen door de Klant van zijn verplichtingen uit deze Verwerkersovereenkomst, het interne beleid, de procedures en/of beste praktijken van Trustteam met betrekking tot de Verwerking van Persoonsgegevens en/of de niet-naleving van de Wetgeving inzake gegevensbescherming
11
1. Context van de Verwerking - Verwerkingsactiviteiten
• Trustteam Verwerkt Persoonsgegevens in het kader van de uitvoering van de Diensten.
2. Duur van de verwerking
• Tot het einde van de Overeenkomst of tot zolang de Diensten worden uitgevoerd.
3. Aard en doel van de verwerking
Trustteam Verwerkt de Persoonsgegevens met het oog op de uitvoering van de Diensten zoals nader omschreven in de Overeenkomst, voor het naleven van toepasselijke wetgeving alsook voor elke andere categorie van doeleinden zoals bepaald in de Overeenkomst.
De Diensten behelzen het volgende:
• leveren van IT services, o.a. ontwikkeling, levering en installatie van software, leveren en installeren van hardware, cloudoplossingen in ons datacenter, voorzien van beveiligingstools, telefonie, ….
• support voor de geleverde producten en diensten. Support op afstand gebeurt met toestemming van de Klant
4. Categorieën Persoonsgegevens die worden Verwerkt (afhankelijk van de Diensten die de Klant afneemt)
• identificatiegegevens (contactgegevens, logins, enz.)
• financiële gegevens (facturen, rekeningnummers, …)
• alle anders persoonsgegevens noodzakelijk in het kader van loonadministratie, de bijhorende wettelijke verplichtingen en eventuele voordelen
• gezondheidsgegevens
5. Categorieën van Xxxxxxxxxxx
• De eigen medewerkers, klanten, leveranciers en prospecten van de Klant
• De (eind)gebruikers van de Diensten in kwestie en het Trustteam-platform van de Klant
12
Trustteam treft passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, rekening houdend met:
• de stand van de techniek
• de uitvoeringskosten
• de aard, de omvang, de context en de verwerkingsdoeleinden
• de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen.
Hiertoe geeft Trustteam hieronder een opsomming van de toegepaste beveiligingsmaatregelen.
Beschrijving van de mogelijke technische en organisatorische maatregelen.
1 Technische maatregelen
• het behalen van het ISO 27001 certificaat (ISO 27001 = de internationale norm voor Informatieveiligheid)
• het behalen van het HDS certificaat (Hébergement de Données de Santé) voor het hosten van Franse gezondheidsgegevens
• het voldoen aan de Statement of Applicability (verplichte checklist i.v.m. Informatieveiligheid bij de ISO 27001 norm)
• de aanwezigheid van een degelijk uitgebouwd gebruikersbeheer. Dit omvat:
o zelf interne gebruikers kunnen toevoegen/verwijderen (zonder tussenkomst v/d leverancier)
o de mogelijkheid om multi-factorauthenticatie te gebruiken o een wachtwoordenpolicy in te stellen
o mogelijkheid om rechten toe te kennen (toegang, lezen en/of schrijven)
• de mogelijkheid tot ‘loggen’: welke gebruiker welke acties uitgevoerd heeft (incl. consultatie):
afhankelijk van de toepassing
• back-ups
• antivirus, firewall, software updates, …
• vernietiging van media (gegevensdragers)
13
veilige manier te gebeuren.
Indien het om een webapplicatie gaat gelden volgende minimale vereisten:
• de persoonsgegevens worden via een beveiligde verbinding ter beschikking gesteld.
• de persoonsgegevens worden opgeslagen in een Europees datacenter (ISO27001 gecertificeerd)
• een back-up van de persoonsgegevens wordt – indien van toepassing bv. bij het werken met een tweede datacenter – ook via een beveiligde verbinding doorgegeven. Daarnaast wordt de back-up procedure van de leverancier gedocumenteerd.
• data opslag gebeurt versleuteld, minstens voor de wachtwoorden.
2 Organisatorische maatregelen
• Trustteam zal ervoor zorgen dat de plaatsen waar ten behoeve van de Klant Persoonsgegevens worden Verwerkt, niet toegankelijk zijn voor onbevoegden.
• Trustteam zal de toegang tot de Verwerkte Persoonsgegevens beperken tot die personeelsleden die de gegevens nodig hebben om de taken uit te oefenen die Trustteam hen in uitvoering van deze Verwerkersovereenkomst of de Overeenkomst toewijst.
• Trustteam beschikt over een intern aanspreekpunt voor gegevensbescherming
• Trustteam toont aan dat zijn eventuele personeelsleden op de hoogte zijn van het veiligheidsbeleid
• Trustteam garandeert de Klant dat de opgeslagen Persoonsgegevens door Trustteam enkel worden ingekeken op vraag van de Klant of na verwittiging voor onderhoud
• Trustteam toont aan via documentatie dat hij in staat is om bij een Datalek de Klant onmiddellijk te informeren
• een privacyverklaring van Trustteam geeft de nodige transparantie en informatie aan de Betrokkenen
• Trustteam garandeert in een SLA maximale onderbrekingen en een contactpunt bij incidenten.
14