Tussen:

ADDENDUM BIJ [naam overeenkomst(en)] BETREFFENDE GEGEVENSBESCHERMING

Tussen:

[naam], onderwijsinstelling hoger onderwijs gevestigd te [adres], geregistreerd, te dezen rechtsgeldig vertegenwoordigd door [naam en functie] 

Hierna de “Onderwijsinstelling” of de “Verwerkingsverantwoordelijke”;

En:

Plantyn nv, vennootschap opgericht naar Belgisch recht, met maatschappelijke zetel te Xxxxxxxxxxx 0-0, xxx 0, 0000 Xxxxxxxxx, geregistreerd onder vennootschapsnummer 0887 899 693, te dezen rechtsgeldig vertegenwoordigd door Xxxx Xxxxx, algemeen directeur

Hierna “Plantyn” of de “Verwerker”;

De Verwerkingsverantwoordelijke en de Verwerker worden hierna afzonderlijk "Partij" of gezamenlijk de "Partijen" genoemd.

Algemeen

Partijen zijn een primaire overeenkomst aangegaan waarbij Plantyn de Informat Schoolsoftware ter beschikking stelt van de Onderwijsinstelling (de ‘Software’). De Software zorgt voor een goede verwerking van studenten- en/of personeelsgegevens.

Hiernaast hebben Partijen een dienstenovereenkomst afgesloten waarbij Xxxxxxx voor het onderhoud van de Software zorgt. Dit omvat aanpassingen, uitbreidingen, updates, opleiding en helpdesk. Deze dienstverlening leidt ertoe dat Xxxxxxx als verwerker toegang kan hebben tot Persoonsgegevens verwerkt door de Onderwijsinstelling als verwerkingsverantwoordelijke.

Dit addendum (“Addendum”) bepaalt hoe Plantyn als verwerker Persoonsgegevens verwerkt namens de Onderwijsinstelling, als Verwerkingsverantwoordelijke. Dit Addendum is een integrerend bestanddeel van de dienstverleningsovereenkomst(en) dd. [datum van de Overeenkomst(en)] (“Overeenkomst”) tussen de Verwerker en de Verwerkingsverantwoordelijke. De bepalingen van de Overeenkomst gelden, tenzij uitdrukkelijk iets anders is bepaald, volledig voor dit Addendum, en meer specifiek worden de bepalingen in de overeenkomst betreffende gegevensbescherming vervangen door dit Addendum. Dit addendum verandert niet de andere bepaling van de Overeenkomst die buiten de werkingssfeer van het onderwerp vallen (de verwerking van persoonsgegevens).

De doelstelling van dit Addendum is de rechten en verantwoordelijkheden van de Verwerkingsverantwoordelijke en de Verwerker te bepalen in het licht van de EU verordening inzake Gegevensbescherming (2016/679) van 27 april 2016 (“Verordening Gegevensbescherming”). “Verwerkingsverantwoordelijke”, “Verwerker”, “Persoon waarop de gegevens slaan”, “Schending inzake Persoonsgegevens”, “Derde Partij” en “Verwerken” hebben dezelfde betekenis als in de wetgeving inzake Gegevensbescherming.

Gegevensbescherming

1. Krachtens de Overeenkomst worden Persoonsgegevens als volgt verwerkt:

• Onderwerp, aard en doelstelling van de Verwerking:

verwerken van studenten- en/of personeelsgegevens in het kader van de diensten verleend door de Verwerker aan de Verwerkingsverantwoordelijke onder de Overeenkomst. De doelstelling is beperkt tot de verwerking van Persoonsgegevens (indien nodig of verzocht door de Verwerkingsverantwoordelijke) m.b.t. het onderhoud van de Software (maintenance, bugs fixing, ondersteuning gebruikers, update, …)

• Duur van de Verwerking: gedurende de looptijd van de Overeenkomst

• Categorieën Persoonsgegevens waartoe de Verwerker toegang kan hebben in het kader van de Overeenkomst:

• Administratieve gegevens: o.m. INSZ-nummer, naam, adres, e-mailadres, foto, inloggegevens

  • Van studenten: o.m. inschrijvingen, mobiliteiten, examenresultaten

  • Van personeelsleden: x.x. xxxxxxxxxx, verlofstelsels

• Medische gegevens.

• Sociale gegevens.

• Gegevens betreffende de kennis, prestatie, vaardigheden.

• Gegevens betreffende aan- of afwezigheden.

• Financiële gegevens

• Categorieën Personen waarop de gegevens slaan:

• Studenten van de Onderwijsinstelling.

• Personeel van de Onderwijsinstelling.

• Externe medewerkers van de Onderwijsinstelling.

• Opslag van de Persoonsgegevens :

Op servers die onder het beheer en de verantwoordelijkheid van de Onderwijsinstelling vallen.

• Sub-verwerker:

De Verwerker maakt voor de uitvoeringen van de diensten onder de Overeenkomst af en toe gebruik van zelfstandige consultants die (tijdelijk) voor Plantyn werken en (tijdelijk) betrokken worden.

2. Wanneer Persoonsgegevens verwerkt worden door de Verwerker, haar onderaannemers‑ (“Onderverwerkers”) of werknemers krachtens of in verband met de Overeenkomst, moet de Verwerker, en moet hij ervoor zorgen dat zijn Onderaannemers‑ en werknemers:

• zich ertoe verbinden te allen tijde passende technische en organisatorische maatregelen te treffen om te voldoen aan de Verordening inzake Gegevensbescherming;

• alleen de Persoonsgegevens verwerken, overdragen, wijzigen, veranderen of aanpassen of de openbaarmaking van de Persoonsgegevens aan derden toestaan, in overeenstemming met de instructies van de Verwerkingsverantwoordelijke zoals vermeld in de Overeenkomst en/of in dit Addendum of zoals vereist door EU- of nationale wetgeving waaraan Verwerker is onderworpen, in welk geval de Verwerker de Verwerkingsverantwoordelijke op de hoogte brengt van die wettelijke vereiste alvorens de Persoonsgegevens te verwerken, tenzij die wet verbiedt dat dergelijke informatie aan de Verwerkingsverantwoordelijke wordt verstrekt;

• alle redelijke stappen ondernemen ter garantie dat alle werknemers en Onderaannemers die toegang tot de Persoonsgegevens hebben in kennis gesteld worden van de vertrouwelijke aard van de Persoonsgegevens en onderworpen worden aan vertrouwelijkheidsverplichtingen in verband met (de Verwerking) van dergelijke Persoonsgegevens;

• behalve wanneer de wettelijke bepalingen stellen dat een Schending inzake Persoonsgegevens niet door een Verwerker moet worden meegedeeld aan een Verwerkingsverantwoordelijke, de Verwerkingsverantwoordelijke onverwijld op de hoogte brengen wanneer een Schending inzake Persoonsgegevens wordt vastgesteld, rekening houdend met de aard van de verwerking en de aan de Verwerker beschikbare informatie, onverminderd het recht van de Verwerker om de Verwerkingsverantwoordelijke redelijke kosten voor dergelijke bijstand in rekening te stellen;

• samenwerken zoals billijkerwijze kan worden gevraagd door de Verwerkingsverantwoordelijke, voor zover nodig opdat de Verwerkingsverantwoordelijke kan voldoen aan de uitoefening van rechten door een Persoon waarop de gegevens xxxxx xxxxxxxxx de Wetgeving inzake Gegevensbescherming betreffende de Persoonsgegevens die door de Verwerkingsverantwoordelijke worden verwerkt krachtens de Overeenkomst, dan wel voldoen aan een beoordeling, enquête, kennisgeving of onderzoek op grond van de Wetgeving inzake Gegevensbescherming, inclusief door een regelgevende instantie, onder voorbehoud van een redelijke voorafgaande kennisgeving en onverminderd het recht van de Verwerker om de verantwoordelijke voor de verwerking redelijke kosten aan te rekenen voor dergelijke bijstand;

• uitsluitend Onderverwerkers (waarbij dit Addendum een algemene toestemming is voor het gebruik van Onderverwerkers) toestaan om Persoonsgegevens te verwerker, mits (i) de Verwerkingsverantwoordelijke vooraf in kennis gesteld wordt van de identiteit van de nieuwe Onderverwerker (die een bestaande Onderverwerker vervangt of aanvult) wanneer de Verwerkingsverantwoordelijke gerechtigd is om wegens billijke redenen bezwaar te maken en (ii) voorwaarden worden opgenomen in de overeenkomst tussen de Verwerker en de Onderverwerker die wezenlijk dezelfde zijn als deze uiteengezet in dit artikel 1 en (iii) de Verwerker volledig aansprakelijk blijft tegenover de Verwerkingsverantwoordelijke in overeenstemming met de bepalingen van de overeenkomst inzake aansprakelijkheid, voor een fout door een Onderverwerker bij de uitvoering van zijn verbintenissen inzake Verwerking van Persoonsgegevens;

• De verwerking van Persoonsgegevens stopzetten na de beëindiging of afloop van de Overeenkomst;

3. Op verzoek moet de Verwerker aan de Verwerkingsverantwoordelijke alle informatie beschikbaar stellen die nodig is om aan te tonen dat hij voldoet aan zijn verplichtingen krachtens dit Addendum en om audits, inclusief inspecties, uitgevoerd door de Verwerkingsverantwoordelijke of een andere door de Verwerkingsverantwoordelijke gemandateerde verwerkingsverantwoordelijke mogelijk te maken, zonder afbreuk te doen aan recht van de Verwerker om de Verwerkingsverantwoordelijke alle redelijke kosten voor dergelijke hulp in rekening te brengen.

4. De Verwerker moet redelijke bijstand verlenen aan de Verwerkingsverantwoordelijke in verband met een gegevensbeschermingseffectbeoordeling en voorafgaand overleg met de bevoegde autoriteit voor gegevensbescherming, indien en wanneer de Verwerkingsverantwoordelijke dit redelijkerwijs noodzakelijk acht krachtens artikel 35 of 36 van de Verordening inzake Gegevensbescherming, uitsluitend in verband met Verwerking van Persoonsgegevens door Verwerker, onverminderd het recht van de Verwerker om de Verwerkingsverantwoordelijke kosten in rekening te brengen voor dergelijke bijstand.
   
   

Uitgegeven in twee exemplaren in [plaats] op [datum] , waarvan elke partij beweert een exemplaar te hebben ontvangen.

V oor de Verwerkingsverantwoordelijke Voor de Verwerker

Naam: [naam] Naam: Xxxx Xxxxx
Functie: [functie] Functie: algemeen directeur

4