Contract
De aanbestedende overheid zal de bijgevoegde lijst moeten invullen die onder meer het soort te verwerken persoonsgegevens aangeeft. Te verifiëren met de DPO van Uw organisatie
Voorwaarden en bepalingen toepasselijk in geval van verwerking van persoonsgegevens door de opdrachtnemer namens de aanbestedende overheid:
1) Bepalingen betreffende de naleving van de algemene verordening gegevensbescherming
De hierna vermelde bepalingen zijn van toepassing op de opdrachtnemer die in het kader van de uitvoering van de opdracht namens de aanbestedende overheid, persoonsgegevens zal verwerken, en met betrekking tot deze verwerking, dus de verwerker zal zijn zoals bedoeld in artikel 4, 8° van de Algemene Verordening Gegevensbescherming (AVG).
Daarnaast kan de opdrachtnemer met betrekking tot de verwerking van Persoonsgegevens in het kader van deze opdracht, ook zelf de verwerkingsverantwoordelijke (zoals bedoeld in art. 4, 7° AVG) zijn. Bijvoorbeeld, indien het gaat om verwerking van persoonsgegevens met het oog op de facturatie van de gepresteerde diensten. Uiteraard is de opdrachtnemer verplicht om ook in zijn hoedanigheid van verwerkingsverantwoordelijke, alle wettelijke verplichtingen uit de AVG na te leven; deze verplichting volgt uit de AVG zelf.
De opdrachtnemer zal de persoonsgegevens die in het kader van deze opdracht moeten worden verwerkt, verwerken in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG) en zal voldoen aan alle verplichtingen opgelegd door de AVG aan een “verwerker”.
Voor de verwerking van persoonsgegevens, deelt de aanbestedende overheid voor elke verwerking de volgende gegevens aan de opdrachtnemer meedelen (zie addendum):
om welke categorie van persoonsgegevens het gaat;
om welke categorieën van betrokkenen het gaat;
wat de aard is van de verwerking;
met welk doeleinde de persoonsgegevens worden verwerkt;
wat de duur is van de verwerking.
De opdrachtnemer zal bij de verwerking van de persoonsgegevens de volgende verplichtingen nakomen (art. 28 AVG):
De persoonsgegevens worden door de opdrachtnemer, zijn medewerkers, of onderaannemer uitsluitend verwerkt op basis van schriftelijke instructies van de aanbestedende overheid die de “verwerkingsverantwoordelijke” is. Deze verplichting geldt niet, overeenkomstig artikel 28 punt 3 AVG, indien de opdrachtnemer op grond van een Unierechtelijke of lidstaatrechtelijke bepaling verplicht is tot de verwerking: in dat geval stelt de opdrachtnemer de aanbestedende overheid daarvan, voorafgaand aan de verwerking, in kennis;
De opdrachtnemer ziet erop toe dat de persoonsgegevens uitsluitend in het kader van het door de aanbestedende overheid vooropgestelde doeleinde worden verwerkt;
De opdrachtnemer stelt de verwerkingsverantwoordelijke onmiddellijk in kennis indien naar zijn mening een instructie een inbreuk oplevert op de AVG of een wettelijke bepaling inzake gegevens-bescherming. Ook indien de opdrachtnemer van oordeel is dat de aanbestedende overheid bepaalde gegevens ten onrechte niet als persoonsgegeven zoals bedoeld in de AVG heeft gekwalificeerd, zal hij de aanbestedende overheid daarvan onmiddellijk op de hoogte brengen (art. 28 punt 3 laatste alinea AVG);
De opdrachtnemer waarborgt dat de tot het verwerken van de persoonsgegevens gemachtigde personen zich ertoe verbonden hebben de vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid gebonden zijn (art. 28 punt 3 b AVG);
De opdrachtnemer neemt alle passende technische en organisatorische maatregelen opdat de verwerking aan de vereisten van de AVG voldoet en de bescherming van de rechten van de “betrokkene” (= de persoon op wie de persoonsgegevens betrekking hebben) is gewaarborgd (art. 28, punt 3 c AVG) : zie ook TECHNISCHE EN ORGANISATORISCHE MAATREGELEN;
De opdrachtnemer zal de verwerking niet uitbesteden aan een onderaannemer, tenzij met voorafgaande specifieke toestemming van de verwerkingsverantwoordelijke en verder voldaan is aan de verplichtingen vermeld in punt 3 VERWERKING DOOR ONDERAANNEMERS (art. 28 punt 3 d AVG);
De opdrachtnemer zal, rekening houdend met de aard van de verwerking, door middel van passende en organisatorische maatregelen, voor zover mogelijk, de verwerkingsverantwoordelijke bijstand verlenen bij het vervullen van diens plicht om verzoeken te beantwoorden van betrokkenen die zich beroepen op de door de AVG aan hen toegekende rechten (art. 28 punt 3 e AVG): zie ook punt 4 BIJSTAND BIJ DE NAKOMING VAN DE VERPLICHTINGEN UIT DE AVG DOOR DE VERWERKINGSVERANTWOORDELIJKE;
De opdrachtnemer zal, rekening houdend met de aard van de verwerking, en de hem ter beschikking staande informatie, de verwerkingsverantwoordelijke bijstand verlenen bij het doen nakomen door de verwerkingsverantwoordelijke van zijn verplichtingen opgelegd aan de verwerkingsverantwoordelijke door de AVG, inzonderheid de artikelen 32 tot en met 36 (art. 28 punt 3 f AVG): zie ook punten 4 BIJSTAND BIJ DE NAKOMING VAN DE VERPLICHTINGEN UIT DE AVG DOOR DE VERWERKINGSVERANTWOORDELIJKE en 7 MELDING VAN EEN INBREUK IN VERBAND MET DE PERSOONSGEGEVENS;
De opdrachtnemer zal alle informatie bijhouden en ter beschikking stellen aan de verwerkingsverantwoordelijke om aan te tonen dat de opdrachtnemer alle verplichtingen nakomt die worden opgelegd met betrekking tot de verwerking van persoonsgegevens, en om audits (zie ook punt 8 AANSPRAKELIJKHEID) mogelijk te maken, en zal ook bijstand verlenen aan eventuele audits (art. 28 punt 3 h AVG);
De opdrachtnemer zal na afloop van de verwerkingsdiensten, naargelang de keuze van de verwerkingsverantwoordelijke, alle persoonsgegevens wissen of deze aan de verwerkingsverantwoordelijke terug bezorgen, tenzij de opslag verplicht is volgens een Unierechtelijke of lidstaatrechtelijke bepaling (zie ook punt 9 AUDITS).
2) Technische en organisatorische maatregelen
De opdrachtnemer neemt de vereiste en passende technische en organisatorische maatregelen om de persoonsgegevens te beschermen tegen (toevallige, opzettelijke) vernietiging, verlies of wijziging van de persoonsgegevens, tegen ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk, hetzij onrechtmatig, en tegen iedere andere niet toegelaten verwerking van de persoonsgegevens.
In zijn veiligheidsplan beschrijft de opdrachtnemer de concrete uitwerking van de overeengekomen beschermingsmaatregelen. In geval van onduidelijkheid met betrekking tot de governance inzake de veiligheid en de beschermingsmaatregelen die moeten worden toegepast worden de ISO 27001- en ISO 27002-normen als referentie gebruikt.
De opdrachtnemer verzekert dat de personen die gemachtigd zijn om de persoonsgegevens te verwerken:
zich ertoe verbinden om de vertrouwelijkheid in acht te nemen of dat zij door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden;
de noodzakelijke opleiding krijgen inzake bescherming van persoonsgegevens en incidentenbeheer;
overeenkomstig de bepalingen van dit contract enkel toegang hebben tot de gegevens die strikt noodzakelijk zijn voor de uitvoering van hun taken.
De opdrachtnemer:
onderhoudt de software en de systemen en de licenties die vereist zijn voor hun wettelijk gebruik en werkt ze regelmatig bij;
aanvaardt dat de aanbestedende overheid zijn systemen en software onderzoekt of laat onderzoeken en aanvaardt om de geïdentificeerde zwakke punten, bij voorkeur vóór de ingebruikneming, te corrigeren;
beschikt over een lijst van de personen die gemachtigd zijn om persoonsgegevens te verwerken die up-to-date en volledig is;
houdt de toegangsmachtigingen bij;
informeert zijn personeel over de relevante bepalingen van de wetten en de verordeningen die betrekking hebben op bescherming van persoonsgegevens en informatieveiligheid, alsook over elk ter zake doend voorschrift betreffende de bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, evenals over elke andere reglementering inzake de materie die van toepassing is binnen de organisatie.
De opdrachtnemer waarborgt de integriteit, de beschikbaarheid en de vertrouwelijkheid van de persoonsgegevens die hij in het kader van deze overeenkomst verwerkt.
Dit doet de opdrachtnemer minstens door het implementeren en gebruiken van ‘state of the art’ beveiligingstechnologieën en – technieken, die in overeenstemming zijn met de ‘best practices’ in de industrie. Dit houdt ook mechanismen in om kwetsbaarheden te detecteren en/of te identificeren en het tijdig doorvoeren van patches en/of updates.
De infrastructuren en de software voor de verwerking van de persoonsgegevens (applicaties, systemen, netwerken) moeten volgens de regels van de kunst beveiligd worden, en dit ongeacht hun omgeving (ontwikkeling, test, gebruik).
Op basis van de ISO 27002 besteedt de opdrachtnemer er in het bijzonder aandacht aan de volgende zaken :
de meest recente verbeteringen van de veiligheid van de software (systemen, middleware en applicaties) worden geïnstalleerd;
de configuratiebestanden worden beschermd;
de paswoorden voor de installatie en de standaardpaswoorden worden veranderd en zijn niet banaal;
de uitgebreide voorrechten van de gebruikers worden regelmatig beperkt en gecontroleerd;
het incidentenbeheer wordt getest;
de code voor de verwerkingen wordt vanaf de ontwikkelingsfase beschermd;
de aanbestedende overheid kan een kopie van de code van de programma's die voor hem werden ontwikkeld bekomen;
de gebruiksoperaties en activiteiten van gebruikers worden « gelogd » (sporen van de toegang vastgelegd in logbestanden). Hetzelfde geldt voor andere relevante gebeurtenissen, zoals pogingen om ongeautoriseerd toegang te krijgen tot de persoonsgegevens en verstoringen die kunnen leiden tot wijziging of verlies van relevante persoonsgegevens. De aanbestedende overheid kan de logs controleren en een rapport met betrekking tot de gebruikers en het gebruik van het systeem vragen.
De opdrachtnemer gebruikt vastgelegde procedures om de beschikbaarheid van informatie, software en andere bedrijfsmiddelen te waarborgen, inclusief de procedures ter borging van de beschikbaarheid tijdens de kritische momenten.
De aanbestedende overheid kan de opdrachtnemer gelijk wanneer informatie bezorgen over nieuwe veiligheidsnormen en vragen om te bespreken of het opportuun is dat de manier van werken ter zake van de opdrachtnemer wordt aangepast.
In het kader van de opdracht kan de verwerking van één of meerdere categorieën van persoonsgegevens zoals beschreven de bijlage bij het bestek noodzakelijk zijn. Rekening houdend met het voorgaande, toont de opdrachtnemer ten overstaan van de aanbestedende overheid in de offerte aan de hand van zijn veiligheidsplan en elke andere relevante documentatie aan dat alle passende maatregelen werden genomen zodat de aanbestedende overheid zijn verantwoordingsplicht kan nakomen bedoeld in art. 5 AVG. Na de gunning, bezorgt de opdrachtnemer op eenvoudig verzoek van de aanbestedende overheid een overzicht van de technische en organisatorische maatregelen aan de betrokken functionaris voor gegevensbescherming van de aanbestedende overheid.
Rekening houdend met de aard van de gegevens, het risico en de context van de gegevensverwerking, worden de persoonsgegevens door de opdrachtnemer versleuteld volgens de regels van de kunst wanneer ze opgeslagen worden en wanneer ze doorgestuurd worden. Elke kopie van de persoonsgegevens moet worden geautoriseerd door de aanbestedende overheid. Tijdens elke verwerking kunnen de persoonsgegevens en de kopieën ervan alleen worden vernietigd in opdracht van aanbestedende overheid in overeenstemming met artikel 25 AVG. Ze worden vernietigd volgens de instructies van de aanbestedende overheid en volgens het beginsel van minimalisering van artikel 25 AVG.
Door het nemen van de passende veiligheidsmaatregelen moet de opdrachtnemer de vertrouwelijkheid, de integriteit en de beschikbaarheid van de gegevens, van hun kopieën (bv. back-up) en de verwerkingsresultaten garanderen. De gegevens die in test- en ontwikkelingsomgevingen gebruikt worden, zijn ofwel onecht, ofwel anoniem, zodat ze niet schadelijk zijn voor de betrokkenen of de aanbestedende overheid wanneer een incident plaatsvindt.
Iedere keer wanneer de aanbestedende overheid daarom vraagt overhandigt de opdrachtnemer een kopie van de gegevens die in het kader van deze overeenkomst verwerkt worden aan de aanbestedende overheid, en dit in een formaat dat door de partijen bepaald wordt.
De aanbestedende overheid machtigt de opdrachtnemer om de persoonsgegeven door te geven aan de personen, instellingen, overheden en derde partijen die rechtstreeks deelnemen aan de uitvoering van de opdracht en gemachtigd zijn om deze persoonsgegevens te ontvangen. Deze bestemmelingen worden uitdrukkelijk vermeld in het register van de verwerkingsactiviteiten en de aanbestedende overheid moet op voorhand op de hoogte worden gebracht van elke mededeling van de persoonsgegevens aan derden.
De opdrachtnemer verbindt er zich toe al wie toegang heeft tot de persoonsgegevens een vertrouwelijkheidsverklaring of Non Disclosure Agreement, te laten ondertekenen vooraleer zij toegang kunnen bekomen tot de persoonsgegevens.
De opdrachtnemer zorgt ervoor dat de personen, instellingen, overheden en derde partijen die in zijn naam en voor zijn rekening werken uitsluitend toegang hebben tot de persoonsgegevens die ze nodig hebben om hun taak of opdracht in het kader van het bestek en deze overeenkomst uit te voeren. Dit geldt voor personeel, ingehuurd of tijdelijk personeel en eventuele derde partijen die rechtstreeks of onrechtstreeks betrokken zijn bij de uitvoering van de opdracht.
De opdrachtnemer voorkomt door middel van functiescheiding dat een combinatie van toegangsrechten kan leiden tot ongeautoriseerde handelingen en/of toegang tot de persoonsgegevens.
De opdrachtnemer neemt maatregelen met betrekking tot de preventie en opsporing van fraude en elk ander oneigenlijk gebruik van of toegang tot systemen en netwerken.
Het netwerk en de informatiesystemen worden actief gemonitord en beheerd door de opdrachtnemer.
De opdrachtnemer zorgt voor de mechanismen voor fysieke en/of elektronische toegang tot de systemen en gegevens van de aanbestedende overheid. Deze mechanismen moeten een aantoonbaar veilige manier voorzien om toegang tot de gegevens te verschaffen.
De opdrachtnemer voorziet een geactualiseerde lijst van het personeel, ingehuurd of tijdelijk personeel en eventuele derde partijen die rechtstreeks of onrechtstreeks betrokken zijn bij de uitvoering van de opdracht en de machtigingen die zij hebben met betrekking tot de verwerkte persoonsgegevens.
De opdrachtnemer is aansprakelijk voor de veiligheid en het goede gebruik van de toegangscodes, gebruikersnamen en wachtwoorden (evenals voor het regelmatig wijzigen van deze codes en wachtwoorden) om toegang te hebben tot de persoonsgegevens en ze te verwerken. De opdrachtnemer verbindt zich ertoe alles in het werk te stellen opdat al wie toegang heeft tot de persoonsgegevens de vertrouwelijkheid van zijn codes en wachtwoorden zou bewaren.
De opdrachtnemer zal een procedure opzetten om op gezette tijdstippen (minstens jaarlijks) de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking te testen, te beoordelen en te evalueren. Een rapport daarover zal worden opgesteld en bezorgd aan de aanbestedende overheid. Indien nodig zullen de technische en organisatorische maatregelen worden geactualiseerd.
Wanneer de opdrachtnemer of een van zijn onderaannemers een persoon of een bedrijf is, met inbegrip van dochterondernemingen of kleindochterondernemingen, die op enigerlei wijze onderworpen is aan wetgeving buiten de Europese Unie, zal de opdrachtnemer een gegevensbeschermingseffectbeoordeling (data protection impact assessment) uitvoeren die hij aan de aanbestedende overheid voorlegt. De opdrachtnemer overheid beoordeelt samen met de aanbestedende overheid welke maatregelen moeten worden genomen om de geïdentificeerde risico's af te dekken. De opdrachtnemer zal de maatregelen uitvoeren die na deze evaluatie werden beslist.
3) Verwerking door onderaannemers
Voor de verwerking van de persoonsgegevens kan de opdrachtnemer geen beroep doen op onderaannemer(s) tenzij met de voorafgaande schriftelijke toestemming van de aanbestedende overheid.
De opdrachtnemer zal bij schriftelijke overeenkomst aan de onderaannemers dezelfde verplichtingen inzake gegevensbescherming opleggen als deze die worden opgelegd aan de opdrachtnemer in dit bestek, opdat de verwerking zou voldoen aan de vereisten van de AVG. De opdrachtnemer bezorgt in voorkomend geval een kopie van die schriftelijke overeenkomst aan de aanbestedende overheid binnen een termijn van vijf werkdagen na ondertekening door de betrokken partijen.
De opdrachtnemer blijft ten opzichte van de aanbestedende overheid de verantwoordelijkheid dragen voor het naleven van de verplichtingen uit de AVG opgelegd aan de “verwerker” van persoonsgegevens ook indien de verwerking wordt uitbesteed aan een onderaannemers.
De opdrachtnemer verschaft de verwerkingsverantwoordelijke een duidelijk overzicht van wie welke activiteiten uitvoert in het kader van de verwerking van de persoonsgegevens. De opdrachtnemer aanvaardt dat de contactgegevens van deze onderaannemers worden gepubliceerd op een publieke website ter informatie van alle “betrokkenen”.
4) Bijstand bij de nakoming van de verplichtingen uit de AVG door de verwerkingsverantwoordelijke
4 1 Algemeen
De opdrachtnemer zal de verwerkingsverantwoordelijke alle informatie verstrekken en alle bijstand verlenen noodzakelijk en/of die redelijkerwijze mag worden verwacht opdat de verwerkingsverantwoordelijke in staat zou zijn, zijn verplichtingen uit de AVG na te komen én van deze nakoming het bewijs te leveren.
4.2 Bijstand bij verzoeken van de betrokkenen
De opdrachtnemer zal alle mogelijke maatregelen nemen opdat de verwerkingsverantwoordelijke (de aanbestedende overheid) kan tegemoet komen aan de verzoeken van een betrokkene die zich beroept op de hierna vermelde rechten en de opdrachtnemer zal, in voorkomend geval, de verwerkingsverantwoordelijke daarbij alle medewerking verlenen:
Het recht van inzage zoals bedoeld in artikel 15 AGV , en onder meer om een kopie van de persoonsgegevens die worden verwerkt te bekomen;
Het recht op rectificatie van de persoonsgegevens zoals bedoeld in art. 16 AVG;
Het recht op gegevenswissing (“recht op vergetelheid”) zoals bedoeld in artikel 17 AVG;
Het recht op beperking van de verwerking zoals bedoeld in artikel 18 AVG;
Het recht op overdraagbaarheid van de persoonsgegevens zoals bedoeld in artikel 20 AVG ;
Het recht van bezwaar bedoeld in artikel 21 AVG;
Het recht om niet te worden onderworpen aan geautomatiseerde individuele besluitvorming waaronder profilering zoals bedoeld in artikel 22 AVG.
Indien een betrokkene zich rechtstreeks wendt tot de opdrachtnemer om zich te beroepen op één van de voormelde rechten, zal de opdrachtnemer dit onmiddellijk melden aan de aanbestedende overheid en alleen tegemoet komen aan het verzoek van de betrokkene na akkoord van de aanbestedende overheid.
4.3 Bijstand bij de nakoming van de verplichting tot gegevensbeschermingseffectbeoordeling (GEB)
De opdrachtnemer zal rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie, alle bijstand verlenen aan de aanbestedende overheid bij de verplichting tot gegevensbeschermingseffectbeoordeling (GEB) zoals bedoeld in artikel 35 AVG, en inzonderheid om te komen tot een volwaardige en correcte risicobeoordeling en –beheersing.
Wanneer een reeds bestaande verwerking van persoonsgegevens, volgens een nieuw technologisch proces zal worden uitgevoerd, zal de opdrachtnemer nagaan of, krachtens artikel 35 AVG, een GEB moet worden uitgevoerd en de aanbestedende overheid daarvan op de hoogte brengen. Daarbij wordt rekening gehouden met de aanbevelingen van de Gegevensbeschermingsautoriteit (xxx.xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx.xx).
Indien nodig en op verzoek van de aanbestedende overheid, zal de opdrachtnemer de aanbestedende overheid bijstaan om ervoor te zorgen dat de verplichtingen ingevolge de uitvoering van een GEB worden nagekomen. Inzonderheid, indien uit een GEB blijkt dat de verwerking een hoog risico voor de gegevensbescherming zou opleveren, zal de opdrachtnemer op verzoek van de verwerkingsverantwoordelijke of de toezichthoudende autoriteit alle informatie verstrekken noodzakelijk in het kader van de voorafgaande raadpleging bedoeld in art. 36 AVG.
5) Register van de verwerkingsactiviteiten
De opdrachtnemer houdt, in overeenstemming met artikel 30, lid 2 AVG, een register bij van alle categorieën van verwerkingsactiviteiten die hij ten behoeve van de aanbestedende overheid heeft verricht.
Dit register – dat in schriftelijke (waaronder elektronische) vorm is opgesteld - vermeldt per verwerkingsverantwoordelijke:
De naam en de contactgegevens van de verwerker, en de verwerkingsverantwoordelijke (in voorkomend geval van de vertegenwoordiger van de verwerkingsverantwoordelijke of de verwerker), en van de functionaris voor gegevensbescherming;
De categorieën van verwerkingen die voor rekening van elke verwerkingsverantwoordelijke zijn uitgevoerd;
Indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, onder vermelding van dat derde land of die internationale organisatie, en in voorkomend geval (zie art. 49, lid 1, tweede alinea AVG) de documenten inzake de passende waarborgen;
Indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen bedoeld in artikel 32, lid 1 AGV.
6) Plaats van de verwerking en doorgiften
Het verwerken van persoonsgegevens is toegestaan binnen de Europese Unie. Het verwerken van persoonsgegevens buiten de Europese Unie is slechts toegestaan voor zover de Europese Commissie overeenkomstig artikel 45 AVG heeft beslist dat het derde land, het gebied of de specifieke sector in het derde land waar de persoonsgegevens zullen worden verwerkt een passend beschermingsniveau waarborgt (adequaatheidsbeslissing). Indien de Europese Commissie de toepasselijk adequaatheidsbeslissing intrekt, moet de verwerking van persoonsgegevens in het betreffende derde land, het gebied of de specifieke sector in het derde land waar persoonsgegevens werden verwerkt, onmiddellijk worden beëindigd.
De opdrachtnemer geeft de aanbestedende overheid een overzicht van de locaties waar de persoonsgegevens worden verwerkt. De opdrachtnemer aanvaardt dat deze locaties worden gepubliceerd op een publieke website ter informatie van alle “betrokkenen”.
Op een verzoek tot doorgifte of het verstrekken van persoonsgegevens aan een land buiten de Europese Unie, gebaseerd op een rechterlijke uitspraak of een besluit van een administratieve autoriteit, kan enkel worden ingegaan indien die rechterlijke uitspraak of dat besluit is gebaseerd op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand tussen het verzoekende derde land en de Unie of een lidstaat (onverminderd de andere gronden voor doorgiften aan een derde land vastgesteld in de AVG). In voorkomend geval zal de opdrachtnemer de aanbestedende overheid onmiddellijk en voorafgaand aan de doorgifte op de hoogte brengen van het verzoek.
7) Melding van een inbreuk in verband met de persoonsgegevens
De opdrachtnemer informeert de betrokken aanbesteder onmiddellijk zodra - en uiterlijk binnen de 24 uur nadat - hij kennis heeft genomen van een inbreuk op de beveiliging van de persoonsgegevens die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.
De opdrachtnemer moet onmiddellijk alle noodzakelijke maatregelen nemen om de impact van de fysieke of technische inbreuken en de nadelige gevolgen ervan te beperken, de herstelling van de schade mogelijk te maken en hun herhaling te vermijden. Hij zorgt ervoor dat de dienst zo snel mogelijk opnieuw op normale wijze verleend wordt.
De opdrachtnemer zal, met het oog op de melding van de inbreuk door de aanbesteder aan de toezichthoudende entiteit (zie art. 33 AVG) en aan de betrokkene (zie art. 34 AVG), de volgende gegevens meedelen aan de aanbestedende overheid:
De aard van de inbreuk, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;
De waarschijnlijke gevolgen van de inbreuk in verband met de persoonsgegevens;
De maatregelen die werden genomen of kunnen worden genomen om de inbreuk in verband met de persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
Het tijdstip van afsluiting van het incident;
De structureel genomen maatregelen ter voorkoming in de toekomst.
8) Aansprakelijkheid
De opdrachtnemer vrijwaart de aanbestedende overheid voor alle gevolgen die voortvloeien uit het niet respecteren door de opdrachtnemer of zijn onderaannemers van de verplichtingen ingevolge de AVG, de eventueel in het buitenland geldende reglementering en dit bestek, en is verantwoordelijk voor alle door de aanbestedende overheid geleden schade bij het niet-respecteren ervan.
Als de opdrachtnemer zijn verplichtingen ingevolge de AVG, de eventueel in het buitenland geldende reglementering en dit bestek niet nakomt, kan de aanbesteder de opdrachtnemer daarvoor aansprakelijk stellen.
De opdrachtnemer is aansprakelijk voor alle schade die de aanbesteder lijdt door het niet nakomen van toepasselijke wetgeving en de bepalingen uit deze overeenkomst, voor zover dit is ontstaan door werkzaamheden van de opdrachtnemer.
De opdrachtnemer is aansprakelijk voor de aan de aanbesteder opgelegde boete door de bevoegde Gegevensbeschermingsautoriteit als de schade het gevolg is van het onrechtmatig of nalatig handelen van de opdrachtnemer of zijn onderaannemers.
9) Audits
De aanbestedende overheid kan zelf of door een gemachtigde controleur (laten) nagaan of auditen of de opdrachtnemer voldoet aan alle verplichtingen met betrekking tot de gegevensbescherming onder de AVG en dit bestek, en onder meer welke technische en organisatorische maatregelen door de opdrachtnemer werden genomen en of deze worden nageleefd. De opdrachtnemer zal alle informatie ter beschikking stellen die nodig is om audits mogelijk te maken en zal volledige medewerking verlenen aan de aanbestedende overheid of de gemachtigd controleur om een audit te kunnen uitvoeren.
10) Wissen van gegevens bij beëindiging van de opdracht
De opdrachtnemer verbindt er zich toe om na afloop van de verwerking:
onmiddellijk een einde te stellen aan elk ander gebruik van de persoonsgegevens die door de Verwerkingsverantwoordelijke overhandigd en ter beschikking gesteld werden ;
de persoonsgegevens (of een– actuele – kopie daarvan) die aan hem, of aan al wie de aanbesteder aanstelde, werden toevertrouwd, evenals de resultaten van de verwerking van deze persoonsgegevens, aan de aanbesteder of aan de door de aanbesteder aangeduide verwerker te overhandigen verwerkt in het formaat dat de Partijen overeenkomen. De opdrachtnemer bezorgt ook gelijk welke informatie of documenten die nodig zijn voor de latere verwerking van de persoonsgegevens. De gestructureerde gegevens, zoals databanken, worden zonder verlies van structuur of metagegevens overhandigd. De opdrachtnemer zal in goede trouw en ijverig bijdragen tot de doorgifte van alle persoonsgegevens naar het door de aanbesteder aangewezen informaticasysteem;
eens alle persoonsgegevens zijn doorgegeven, alle gegevens, kopieën van alle gegevens die door de aanbesteder overhandigd werden te vernietigen, evenals de resultaten van de verwerking van deze gegevens en de back-ups en databases. Eenmaal ze vernietigd zijn, moet de opdrachtnemer de vernietiging schriftelijk rechtvaardigen.
de vertrouwelijkheidsverbintenissen van zijn personeel, of van al wie onder zijn verantwoordelijkheid of gezag handelt, na het einde van deze overeenkomst te behouden, evenals elke andere contractuele verplichting die blijft bestaan (bijvoorbeeld geheimhouding, verplichting tot kennisgeving in geval van inbreuk op persoonsgegevens).
11) Voortleving
Ook na beëindiging van de overeenkomst tussen aanbestedende overheid en opdrachtnemer, en zolang de opdrachtnemer toegang heeft tot de persoonsgegevens die hem in het kader van deze overeenkomst voor verwerking werden toevertrouwd, blijft de opdrachtnemer onderworpen aan de voorgaande bepalingen inzake de verwerking van persoonsgegevens.
LIJST IN TE VULLEN IN FUNCTIE VAN HET VOORWERP VAN DE OPDRACHT
Deze bijlage bepaalt voor elke verwerking de volgende gegevens:
• welk soort gegevens de te verwerken persoonsgegevens zijn;
• om welke categorie van persoonsgegevens het gaat;
• om welke categorieën van betrokkenen het gaat;
• wat de aard is van de verwerking;
• met welk doeleinde de persoonsgegevens worden verwerkt;
• wat de duur is van de verwerking.
1. De te verwerken persoonsgegevens (bijvoorbeeld, naam, telefoonnummer, functie,…) en de categorie van persoonsgegevens (bijvoorbeeld, identificatiegegevens en gegevens inzake beroep en betrekking);
(schrappen of verwijderen wat niet past en aanvullen waar nodig)
A. Identificatiegegevens
A1 Persoonlijke identificatiegegevens: naam, titel, adres (privé, werk), vroegere adressen, telefoonnummer (privé, werk), identificatiegegevens toegekend door verantwoordelijke. Identificatiegegevens, andere dan het Rijksregisternummer, uitgegeven door de overheidsdiensten: identiteitskaartnummer, paspoortnummer, rijbewijsnummer, pensioennummer, nummerplaat,...
A2 Elektronische identificatiegegevens: IP-adressen, cookies, verbindingsmomenten,...
A3 Elektronische lokalisatiegegevens: GSM, GPS,...
A4 Biometrische identificatiegegevens: DNA-gegevens, vinger– en stemafdrukken, beeld van het netvlies, herkenning van het gezicht, van de vorm van de vingers of van het hand, dynamische handtekening, …
B. Financiële bijzonderheden
Financiële identificatiegegevens: identificatie– en bankrekeningnummers, nummers van krediet– of debetkaarten, geheime codes.
Inkomsten, bezittingen, investeringen, totale inkomsten, beroepsinkomsten, spaargelden, begindatum en einddatum van beleggingen, investeringsinkomsten, lasten op de activa.
Schulden, uitgaven: totale uitgaven, huurgelden, leningen, hypotheken en andere vormen van krediet.
Solvabiliteit—beoordeling van de inkomsten, van het financieel statuut, van de solvabiliteit.
Leningen, hypotheken, kredieten: aard van de lening, geleend bedrag, resterend te betalen saldo, aanvangsdatum, duur, rentevoet, overzicht van de betaling, bijzonderheden betreffende de waarborgen.
Uitkeringen, hulp, giften, subsidies.
Bijzonderheden betreffende de verzekeringen: aard van de verzekering, bijzonderheden betreffende de gedekte risico’s, verzekerde bedragen, periode gedurende welke de risico’s zijn gedekt, vervaldatum, al dan niet uitgevoerde of ontvangen betalingen, stand van de overeenkomst.
Bijzonderheden betreffende het pensioen: datum waarop men deel gaat uitmaken van het pensioensysteem, aard van het systeem, datum waarop men geen deel meer uitmaakt van het systeem, ontvangen en uitgevoerde betalingen, opties, begunstigden.
Financiële transacties: die de persoon die in het bestand is opgenomen, moet betalen en heeft betaald, toegekend krediet, wisselborgstelling, betalingswijzen, overzicht van de betalingen, deposito’s en andere waarborgen.
Compensatie: bijzonderheden betreffende de geëiste compensaties, betaalde bedragen of andere vormen van compensatie.
Beroepsactiviteiten van de persoon die in het bestand is opgenomen: aard van de activiteit, aard van de goederen of diensten die door de persoon die in het bestand is opgenomen worden gebruikt of geleverd, zakenrelaties.
Overeenkomsten en schikkingen: bijzonderheden betreffende de schikkingen of handelsovereenkomsten, overeenkomsten betreffende de vertegenwoordiging of juridische overeenkomsten, bijzonderheden betreffende de agenten.
In het bezit zijnde vergunningen.
C. Persoonlijke kenmerken
Persoonlijke bijzonderheden: leeftijd, geslacht, geboortedatum, geboorteplaats, burgerlijke staat, nationaliteit.
Militaire situatie: militair statuut, militair overzicht, militaire onderscheidingen.
Immigrantenstatuut: bijzonderheden betreffende het visum, arbeidsvergunning, verblijfs– of verplaatsingsbeperkingen, bijzondere voorwaarden betreffende het verblijfsrecht.
D. Fysieke gegevens
Fysieke beschrijving: grootte, gewicht, haarkleur, kleur van de ogen, onderscheidende kenmerken.
E. Leefgewoonten
Gewoonten: tabaksverbruik, alcoholverbruik.
Levensstijl: bijzonderheden betreffende het verbruik van goederen of diensten, gedrag van het individu of zijn familie.
Bijzonderheden betreffende de reizen en verplaatsingen: inlichtingen betreffende de vroegere verblijven en verplaatsingen, reisvisa, werkvergunningen.
Sociale contacten: vrienden, vennoten, andere betrekkingen dan die met naaste verwanten.
Bezittingen: grond, eigendommen of andere bezittingen.
In het bezit zijnde openbare mandaten: functies op het niveau van de gemeente, de provincie, het gewest of de gemeenschap of op federaal niveau, deelname aan overheidscomités of werkgroepen of bezinningsgroepen...
Klachten, incidenten of ongevallen: inlichtingen betreffende een ongeval, incident of klacht waarin de persoon die in het bestand is opgenomen betrokken is, aard van de schade of kwetsuren, betrokken personen, getuigen.
Burgerlijke en geestelijke onderscheidingen, onderscheidingen van het leger. Gebruik van de media en communicatiemiddelen.
F. Psychische gegevens
Meningen betreffende de persoonlijkheid of het karakter.
G. Samenstelling van het gezin
Huwelijk of huidige vorm van samenleven: naam van de echtgenote of partner, meisjesnaam van de echtgenote of partner, huwelijksdatum, datum van het samenlevingscontract, aantal kinderen,
Maritaal overzicht: bijzonderheden betreffende de vorige huwelijken of verbintenissen, echtscheidingen, scheidingen, namen van de vroegere partners. Bijzonderheden betreffende de andere familie– of gezinsleden: kinderen, personen ten laste, andere leden van het gezin, bloedverwanten in zijlijn, ouders en afstammelingen.
H. Vrijetijdsbesteding en interessen
Vrijetijdsactiviteiten en interessen: hobby’s, sport, andere interessen.
I. Lidmaatschappen
Lidmaatschappen (andere dan professionele, politieke of vakbondsmaatschappen): lidmaatschappen van liefdadigheids– of vrijwilligersorganisaties, clubs, vennootschappen, verenigingen, organisaties, groeperingen,...
J. Gerechtelijke gegevens betreffende…
J1. Verdenkingen en inbeschuldigingstellingen: verdenking van inbreuken, samenspanning met gekende misdadigers. Onderzoeken of rechtsvorderingen (burgerlijke of strafrechtelijke) die ondernomen zijn door of tegen de geregistreerde persoon.
J2 Veroordelingen en straffen.
J3 Gerechtelijke maatregelen: voogdijschap, voorlopig bewindvoerder, internering, plaatsing.
J4 Administratieve sancties:
* van louter disciplinaire aard;
* welke kunnen worden opgelegd aan niet-ambtenaren die aan een openbare dienst hun medewerking verlenen (geneesheren, apothekers, paramedici, aannemers van openbare werken);
* die aan de gebruikers van openbare diensten kunnen worden opgelegd;
* welke wegens niet-nakoming van wettelijke en verordeningsbepalingen kunnen worden opgelegd. Bv. achterlaten van afval op de openbare weg.
J5 DNA-gegevens die worden verwerkt in het kader van de wet van 22 maart 1999 betreffende de identificatieprocedure via DNA-analyse in strafzaken.
K. Consumptiegewoonten
Bijzonderheden betreffende de goederen en diensten die aan de geregistreerde persoon worden geleverd, ontleend of gehuurd.
Bijzonderheden betreffende de goederen en diensten die door de geregistreerde persoon worden geleverd, ontleend of gehuurd.
L. Woningkenmerken
Adres waar de woning zich bevindt: aard van de woning, eigendom of gehuurd, duur van het verblijf op dit adres, huur, lasten, classificatie van de woning, bijzonderheden betreffende de valorisatie, namen van de personen die in het bezit zijn van sleutels.
M. Gegevens betreffende de gezondheid
M1. Lichamelijke gezondheid: Medisch dossier, medisch verslag, diagnose-informatie, behandeling, analyseresultaat, Handicap of gebrek, dieet; andere bijzondere vereisten in verband met de gezondheid bij de behandeling van een reis of een woning.
M2. Psychische gezondheid: medisch dossier, medisch verslag, diagnose-informatie, behandelingen, analyseresultaten.
M3. Risicosituaties en risicogedragingen
M4 Genetische gegevens in het kader van bevolkingsonderzoek, erfelijkheidsonderzoek, ...
M5 Gegevens met betrekking tot de zorg : gegevens met betrekking tot de gebruikte middelen en procedures voor de medische en paramedische patiëntenaanpak.
N. Opleiding en vorming
Academische curriculum: overzicht van de bezochte scholen, instellingen, universiteiten, aard van de gevolgde cursussen, beoogde diploma’s, examenresultaten, overige behaalde diploma’s, beoordeling van de vooruitgang die in de studies worden gemaakt
Financieel overzicht van de studies: inschrijvingsgelden en betaalde kosten, financieringsbronnen, betalingswijzen, overzicht der betalingen. Beroepsbekwaamheid: getuigschriften en beroepsopleidingen, speciale licenties (bestuurder, ...).
Professionele ervaring: beroepsinteresses, onderzoeksinteresses, academische interesses, specialisatieonderwerpen, onderwijservaring, raadplegingen. Lidmaatschap van/deelname in beroepsorganisaties: bijzonderheden betreffende de betrokken groeperingen, comités of commissies, uitgeoefende functies, bijzondere interesses en deelnameoverzicht.
Publicaties: boeken, artikels, verslagen, gepubliceerd audiovisueel materiaal.
O. Beroep en betrekking
Huidige betrekking: werkgever, titel en beschrijving van de functie, graad, datum van aanwerving, werkplaats, specialisatie of type onderneming, arbeidsmodaliteiten en –voorwaarden, vroegere functies en voorafgaande ervaring bij de huidige werkgever Aanwerving: datum van aanwerving, methode van aanwerving, bron van de aanwerving, referenties, bijzonderheden betreffende de proefperiode.
Beëindiging van de betrekking: datum van vertrek, reden van het vertrek, gegeven opzegtermijn, beëindigingsvoorwaarden. Loopbaan : vorige betrekkingen en werkgevers, periodes zonder betrekking, dienstplicht.
Aanwezigheid en discipline: overzicht van de aanwezigheid, redenen van de afwezigheden, disciplinaire maatregelen.
Bedrijfsgeneeskunde: % invaliditeit ten gevolge van een arbeidsongeval, getuigschrift voor het toedienen van eerste hulp.
Loon: betalingen en afhoudingen, salaris, commissielonen, boni, uitgaven, toelagen, voordelen, leningen, ingehouden belastingen, pensioenafhoudingen, vakbondsbijdrage, betaalwijzen, datum van de laatste salarisverhoging.
Activa die het personeelslid bezit: wagen, werktuigen, wisselstukken, naslagwerken, andere voorwerpen die de bediende in bezit heeft.
Organisatie van het werk: huidige verantwoordelijkheden, projecten, gefactureerd uurpercentage, uurregeling, gepresteerde uren.
Evaluatie: evaluatie van de prestaties, mogelijkheden.
Vorming tot de functie: bijzonderheden betreffende de vorming die de functie vereist en de gekregen vorming, en de bekomen kwalificaties en bevoegdheden Beveiliging: paswoorden, veiligheidscodes en niveaus waarop de machtiging wordt verleend.
Evaluatie van het gebruik van de informaticamiddelen (internet, e-mail,...)
P. Rijksregisternummer/Identificatienummer van de sociale zekerheid
Q. Raciale of etnische gegevens
R. Gegevens over het seksuele leven
S. Politieke opvattingen.
Politieke overtuigingen, stemvoorkeur.
Lidmaatschap van een politieke partij, politieke functies die worden vervuld.
Lidmaatschap van of steun aan belangengroepen of militante organisaties.
T. Lidmaatschap van een vakvereniging
Lidmaatschap van een vakbond of een gelijkaardige groepering vervulde functie.
U. Filosofische of religieuze overtuigingen
V. Beeldopnamen
Cameraopname, fotografische opname, video-opname, digitale foto’s
W. Geluidsopnamen
Bandopname, telefoonopname,…
Z. Andere categorie van gegevens
2. categorieën van betrokkenen (bijvoorbeeld, medewerkers van de aanbestedende overheid, burgers, …);
3. aard van de verwerking (bijvoorbeeld, raadplegen van personeelslijsten, formuleren van juridisch advies);
4. doeleinde waarvoor de persoonsgegevens worden verwerkt (bijvoorbeeld, om diensten te verstrekken aan die personeelsleden);
(hierbij kan ter informatie en ter ondersteuning verwezen worden naar de lijst van algemene doeleinden beschreven in de aanbeveling nr. 06/2017 van de voormalige Commissie voor de bescherming van de persoonlijke levenssfeer: xxxxx://xxx.xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx.xx/xxxxxxxxxxxx/xxxxxxxxxxx-xx.-00-0000.xxx).
5. duur van de verwerking (bijvoorbeeld, voor de duur van de opdracht).