Tool 5: Contract verwerkingsverantwoordelijke – verwerker


 GDPR op maat van je sportfederatie


Tool 5: Contract verwerkingsverantwoordelijke – verwerker



Partijen:


  • NAAM ORGANISATIE, ZETEL, rechtsgeldig vertegenwoordigd door NAAM VERTEGENWOORDIGER, hierna genoemd verwerkingsverantwoordelijke


En


  • NAAM ORGANISATIE, ZETEL, rechtsgeldig vertegenwoordigd door NAAM VERTEGENWOORDIGER, hierna genoemd verwerker



zijn volgende overeengekomen:

Voorafgaand

De verwerkingsverantwoordelijke beschikt over persoonsgegevens, waarvan hij bepaalde aspecten van de verwerking aan de verwerker zal toevertrouwen. Deze overeenkomst strekt ertoe om de uitvoering en de organisatie van die verwerking door de verwerker in overeenstemming met de geldende wetgeving te laten plaatsvinden.


De Verordening (EU) 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 94/46/EG (hierna genoemd ‘de Verordening’), die in werking treedt op 25 mei 2018, azl integraal van toepassing zijn op deze overeenkomst. Partijen verbinden er zich toe om deze Verordening na te leven en het bestaan en de inhoud ervan aan alle personen betrokken bij de gegevensverwerking kenbaar te maken.

Artikel 1 Voorwerp van de verwerking

Partijen hebben volgende overeenkomsten afgesloten:


  • Servicecontract beheer IT

  • Ter beschikking stellen van serverruimte

  • Licentie voor het gebruik van een boekhoudprogramma

  • ...


De persoonsgegevens die de verwerkingsverantwoordelijke aan de verwerker bezorgt kaderen in de uitvoering van bovenstaande overeenkomsten.

De verwerker handelt uitsluitend in opdracht en op basis van schriftelijke instructies van de verwerkingsverantwoordelijke.


De verwerker houdt een register bij van de verwerkingsactiviteiten die zij ten behoeve van de verwerkingsverantwoordelijke verricht (art. 30 AVG).

Artikel 2 Duur van de verwerking

Deze overeenkomst geldt vanaf de ondertekening en loopt af wanneer alle in Artikel 1 vermelde overeenkomsten volledig zijn uitgevoerd, of in voorkomend geval, zijn ontbonden of nietigverklaard.


De verwerker verbindt zich ertoe de gegevens niet langer te bewaren dan noodzakelijk is voor het uitvoeren van hoger vermelde overeenkomsten, waarvoor ze ter beschikking werden gesteld. Onmiddellijk na het voltooien van deze opdracht of na de beëindiging, ontbinding of nietigverklaring van de overeenkomst, worden de gegevens, inclusief bestaande kopieën, gewist of terugbezorgd aan de verwerkingsverantwoordelijke.

Artikel 3 Aard en doel van de verwerking

De persoonsgegevens zullen in het kader van volgende doeleinden verwerkt worden:

  • Voeren van boekhouding


De verwerker houdt een register bij van de verwerkingsactiviteiten die zij voor de verwerkingsverantwoordelijke verricht, overeenkomstig de bepalingen uit artikel 30 van de Verordening.

Artikel 4 Soort persoonsgegevens

Enkel de volgende persoonsgegevens, die strikt noodzakelijk zijn voor het bereiken van de doeleinden hierna bepaald, zullen door de verwerker verwerkt worden:

  • Naam

  • Adres

  • Leeftijd

  • Geboortedatum


Artikel 5 Categorieën van betrokkenen

De persoonsgegevens zijn afkomstig van de volgende categorieën van betrokkenen:

  • Leden sportfederatie

  • Ouders van leden sportfederatie

  • Vrijwilligers sportfederatie

Artikel 6 Vertrouwelijkheid

De verwerker waarborgt dat de personen die de persoonsgegevens verwerken zich ertoe verbonden hebben om de vertrouwelijkheid in acht te nemen.


De verwerker verbindt zich ertoe om alle personen die toegang hebben tot de persoonsgegevens in te lichten over de verplichtingen die voortvloeien uit de Verordening.


De verwerker zal de gegevens enkel verwerken in het kader van de in Artikel 3 beschreven doeleinden en zal in geen geval deze gegevens aan derden meedelen.


De verwerker zal de gegevens nooit opslaan op een locatie buiten de Europese Economische Ruimte.


De verwerker verbindt zich ertoe om geen kopie te maken van de ter beschikking gestelde gegevens, behalve met het oog op back-up.


De mededeling van gegevens aan derden die niet rechtstreeks deelnemen aan de uitvoering van de opdracht, is verboden, tenzij dit krachtens een wet wordt opgelegd.

Artikel 7 Onderaannemers

De verwerker houdt een actuele lijst bij van de actieve onderaannemingscontracten met subverwerkers en kan deze binnen redelijke termijn op schriftelijk verzoek (incl. via e-mail) bezorgen aan de verwerkingsverantwoordelijke.


De verwerker zal de verwerkingsverantwoordelijke steeds voorafgaand om toestemming vragen wanneer hij een subverwerker in dienst wil nemen.


Wanneer de verwerker een andere verwerker in dienst neemt om voor rekening van de verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten te verrichten, dan worden aan deze andere verwerker bij overeenkomst dezelfde verplichtingen inzake gegevensbescherming opgelegd, met name de verplichting om voldoende garanties te bieden met betrekking tot het toepassen van passende technische en organisatorische maatregelen.


Wanneer de andere verwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft de eerste verwerker ten aanzien van de verwerkingsverantwoordelijke volledig aansprakelijk voor het nakomen van de verplichtingen van die andere verwerker.

Artikel 8 Beveiliging van de persoonsgegevens

De verwerker verbindt zich ertoe de verwerking van de persoonsgegevens steeds op een veilige manier te laten plaatsvinden.


De verwerkingsverantwoordelijke en de verwerker nemen hiertoe passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen. De verwerkingsverantwoordelijke zal erop toezien dat de verwerker deze maatregelen neemt en naleeft.


Volgende maatregelen worden, waar passend genomen:


  • De pseudonimisering en versleuteling van persoonsgegevens

  • Het vermogen om op permanente basis de vertrouwelijkheid, integriteit en beschikbaarheid van de verwerkingsgegevens en diensten te garanderen, wordt genomen aan de hand van volgende maatregelen:


  • Het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen, wordt genomen aan de hand van volgende maatregelen:


  • Een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.


Bij de beoordeling van het passende beveiligingsniveau wordt rekening gehouden met de verwerkingsrisico’s, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk, hetzij onrechtmatig.


De verwerkingsverantwoordelijke en verwerker treffen maatregelen om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder het gezag van de verwerkingsverantwoordelijke of van de verwerker en toegang heeft tot de persoonsgegevens, deze slechts in opdracht van de verwerkingsverantwoordelijke verwerkt, tenzij hij daartoe wettelijk gehouden is.

Artikel 9 Datalek

De verwerker zorgt dat er een procedure beschikbaar is in het geval van een datalek. In dergelijk geval wordt de verwerkingsverantwoordelijke onverwijld, en maximum binnen de 24 uur na het vaststellen van het lek, ingelicht van het datalek.


De verwerkingsverantwoordelijke wordt door de verwerker in voorkomend geval op de hoogte gebracht van minstens volgende zaken:


  • Aard van het incident

  • Tijdstip van de vaststelling

  • Welke gegevens gelekt zijn

  • Welke maatregelen genomen werden om bijkomende schade te beperken

  • Wanneer het incident werd afgesloten

  • Welke structurele maatregelen genomen zijn om dergelijk lek in de toekomst te vermijden

Artikel 10 Controle door de verantwoordelijke

De verwerkingsverantwoordelijke heeft op elk ogenblik het recht om de naleving van deze overeenkomst te controleren.


De verwerker stelt de verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om de verplichtingen die voortkomen uit deze overeenkomst en de Verordening aan te tonen.


De verwerker gaat in op ieder redelijk verzoek van de verwerkingsverantwoordelijke om zijn medewerking te verlenen en de nodige informatie te verstrekken in het kader van een audit.


De verwerker verleent de verwerkingsverantwoordelijke bijstand met betrekking tot de verplichtingen uit artikel 32 tot 36 van de Verordening (met name: de beveiliging van de verwerking, de melding van een inbreuk aan de toezichthoudende overheid en de betrokkene, gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging).

Artikel 11 Aansprakelijkheid

De verwerker is aansprakelijk voor de schade die voortvloeit uit het niet naleven van deze overeenkomst, maar kan evenwel niet aansprakelijk zijn voor de schade die voortvloeit uit het naleven van de instructies van de verwerkingsverantwoordelijke.

Artikel 12 Bevoegde rechtbank bij geschillen

Alle geschillen die verband houden met de uitvoering van deze overeenkomst worden beslecht door de bevoegde rechtbanken van het arrondissement waar de verwerkingsverantwoordelijke is gevestigd.




Opgemaakt te ………… op …………….



Voor de verwerkingsverantwoordelijke Voor de verwerker







Naam Naam

Functie: Functie:

Shape1

Vlaamse Sportfederatie vzw – Dynamo Project

Xxxxxxxxxx 00 – 0000 Xxxx

T+32 9 243 12 94

xxxx@xxxxxxxxxxxxx.xx xxx.xxxxxxxxxxxxx.xx

5/5

Document Metadata

Filed: March 19th, 2018