OVEREENKOMST BETREFFENDE DE VERWERKING VAN PERSOONSGEGEVENS

OVEREENKOMST BETREFFENDE DE VERWERKING VAN PERSOONSGEGEVENS

TUSSEN

De Klant

Hierna de “Verwerkingsverantwoordelijke” genoemd,

EN

DVIT BVBA, met maatschappelijke zetel te 0000 Xxxx-

Mere, Xxxxxxxxxxxxxxxxxxx 0, ondernemingsnummer 0461145522

hierbij rechtsgeldig vertegenwoordigd door de heer Xxx Xxxx Xxxxx in zijn hoedanigheid van zaakvoerder,

Hierna de “Verwerker” genoemd,

De Verwerkingsverantwoordelijke en de Verwerker worden hierna afzonderlijk een “Partij” en gezamenlijk “Partijen” genoemd.

OVERWEGENDE DAT

▪ Verwerkingsverantwoordelijke een beroep wenst te doen op de diensten van de Verwerker, overeenkomstig de door de Verwerkingsverantwoordelijke ondertekende overeenkomst (hierna de “Hoofdovereenkomst” genoemd);

▪ Verwerkingsverantwoordelijke beschikt over persoonsgegevens (hierna de “Persoonsgegevens”) en/of in de toekomst persoonsgegevens zal verzamelen zoals omschreven in artikel 1, §1 van de “Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens” (hierna “Privacywet” genoemd), haar uitvoeringsbesluiten, de wijzigingen daarvan en zoals recent geactualiseerd ingevolge de Algemene Verordening Gegevensbescherming1 (hierna “AVG” genoemd);

▪ Verwerkingsverantwoordelijke bepaalde aspecten van de verwerking van deze Persoonsgegevens wenst toe te vertrouwen aan de Verwerker. Deze overeenkomst strekt ertoe de uitvoering en de organisatie van die verwerking door de Verwerker te regelen.

1 Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming)

▪ Partijen in onderhavige overeenkomst en overeenkomstig artikel 16 Privacywet & overweging 81 AVG de onderlinge afspraken wensen vast te leggen met betrekking tot de vertrouwelijkheid en de beveiliging van de verwerking van betreffende persoonsgegevens.

WORDT OVEREENGEKOMEN HETGEEN VOLGT

Artikel 1 – Voorwerp

1.1. De Verwerkingsverantwoordelijke, die aanvaardt, wordt beschouwd als de verwerkingsverantwoordelijke overeenkomstig artikel 1, §4 Privacywet / art. 4, 7) AVG. De Verwerkingsverantwoordelijke verbindt er zich toe om de op hem als verwerkingsverantwoordelijke krachtens de Privacywet en AVG rustende verbintenissen stipt uit te voeren.

1.2. De Verwerker, die aanvaardt, wordt beschouwd als verwerker in de zin van artikel 1, §5 Privacywet

/ art. 4, 8) AVG.

De opdracht van de Verwerker bestaat erin, de Persoonsgegevens te verwerken conform de schriftelijke instructies van de Verwerkingsverantwoordelijke, voor de door de Verwerkingsverantwoordelijke bepaalde doelen en met de overeengekomen middelen (hierna de “Opdracht”). De schriftelijke instructies worden opgenomen in Bijlage 1 bij deze overeenkomst.

De Verwerker zal de persoonsgegevens slechts verwerken ten behoeve van de Verwerkingsverantwoordelijke en voor de doeleinden vastgesteld door de Verwerkingsverantwoordelijke, behoudens op grond van een andersluidende verplichting door of krachtens een wet, een decreet of een ordonnantie. Zij erkent voldoende garanties te bieden op het gebied van deskundigheid, betrouwbaarheid en middelen, om ervoor te zorgen dat haar technische en organisatorische maatregelen beantwoorden aan de voorschriften van de Privacywet / AVG, mede wat de beveiliging van de verwerking betreft.

Het is de Verwerker niet toegestaan om de persoonsgegevens aan te wenden voor andere doeleinden dan de uitvoering van haar Opdracht.

1.3. Partijen verbinden er zich uitdrukkelijk toe om de bepalingen van de Privacywet en de AVG strikt na te leven.

Artikel 2 – Meedelen Persoonsgegevens

Enkel de persoonsgegevens die strikt noodzakelijk zijn voor de uitvoering van de Hoofdovereenkomst mogen en kunnen door de Verwerker worden verwerkt.

Artikel 3 – Samenwerking met derden

3.1. De Verwerker zal (een deel van) de Opdracht tot verwerking van de Persoonsgegevens enkel mits een voorafgaande goedkeuring van de Verwerkingsverantwoordelijke uitbesteden aan een derde.

3.2. In voorkomend geval verzekert De Verwerker dat deze derde zich verbindt tot dezelfde verbintenissen uit onderhavige overeenkomst.

Artikel 4 – Beveiliging & melding van inbreuk

4.1. De Verwerker verbindt er zich toe gepaste technische en organisatorische maatregelen te nemen ter beveiliging van de persoonsgegevens en de verwerking ervan, daarbij rekening houdend met de stand van de techniek, de uitvoeringskosten voor De Verwerker, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van de betrokkenen. Het overzicht van de reeds genomen maatregelen wordt gevoegd als Bijlage 2.

4.2. De Verwerker zal erover waken dat de toegang tot de te verwerken en verwerkte Persoonsgegevens beperkt is tot die personeelsleden die de gegevens nodig hebben om de taken uit te voeren die de Verwerker hen in uitvoering van de Opdracht toewijst. De Verwerker zal betreffende personeelsleden wijzen op het belang van de naleving van de Privacywet en AVG.

4.3. De Verwerker verbindt er zich toe de passende technische en organisatorische maatregelen te nemen om de persoonsgegevens te beveiligen tegen toevallige of ongeoorloofde vernietiging, tegen toevallig verlies, evenals tegen de wijziging van of de toegang tot, en iedere andere niet toegelaten verwerking van persoonsgegevens. Deze maatregelen verzekeren een passend beveiligingsniveau, rekening houdend, enerzijds, met de stand van de techniek ter zake en de kosten voor het toepassen van de maatregelen en, anderzijds, met de aard van de te beveiligen gegevens en de potentiële risico's.

4.4. In geval de Verwerker kennis neemt van een inbreuk op de aan De Verwerker door de Verwerkingsverantwoordelijke toevertrouwde persoonsgegevens, verbindt de Verwerker er zich toe om de aard en omvang van deze inbreuk onmiddellijk schriftelijk aan de Verwerkingsverantwoordelijke te melden.

Artikel 5 – Bewaring en verwijdering

5.1. De Verwerker zal de persoonsgegevens niet langer bewaren dan noodzakelijk is voor het verrichten van de Opdracht waarvoor ze door de Verwerkingsverantwoordelijke ter beschikking worden gesteld.

5.2. Indien De Verwerker na uitvoering van de Opdracht niet langer dient te beschikken over de persoonsgegevens met het oog op haar dienstverlening of de opvolging daarvan ten aanzien van de Verwerkingsverantwoordelijke, zal De Verwerker op instructie van de Verwerkingsverantwoordelijke ofwel betreffende persoonsgegevens wissen en definitief uit haar bestanden verwijderen, ofwel de gegevensdragers aan de Verwerkingsverantwoordelijke terugbezorgen.

5.3. Partijen zullen er gezamenlijk over waken dat de opslagperiode van de persoonsgegevens tot een strikt minimum wordt beperkt.

5.5. Het is Verwerker toegestaan om in het kader van de uitvoering van de Opdracht een back-up te maken van de Persoonsgegevens die hij verwerkt teneinde een continue dienstverlening te kunnen garanderen. Art. 5.2. is eveneens van toepassing op de Persoonsgegevens waarvan de Verwerker een back-up heeft genomen.

Artikel 6 – Rechten van de betrokkene

In geval de Verwerkingsverantwoordelijke een aanvraag ontvangt vanwege een betrokkene die overeenkomstig de AVG zijn rechten wenst uit te oefenen, gaat Verwerker - na schriftelijk verzoek vanwege de Verwerkingsverantwoordelijke - naar best vermogen over tot:

- Het schriftelijk verstrekken van alle benodigde informatie, voor zover beschikbaar, en

- Het verbeteren, aanvullen, verwijderen, overdragen of afschermen van Persoonsgegevens, conform de instructies van de Verwerkingsverantwoordelijke.

Verwerker verbindt er zich toe om onverwijld, en uiterlijk binnen 7 dagen na ontvangst van die aanvraag, een passend gevolg daaraan te geven.

Artikel 7 – Controle door de Verwerkingsverantwoordelijke

De Verwerkingsverantwoordelijke houdt zich het recht voor om de naleving van deze overeenkomst door De Verwerker te controleren. Op eenvoudig verzoek van de Verwerkingsverantwoordelijke zal de Verwerker daartoe bijkomende inlichtingen verschaffen omtrent de wijze waarop zij zijn verbintenissen krachtens onderhavige overeenkomst nakomt.

Artikel 8 – Duur en beëindiging

8.1. Deze overeenkomst wordt gesloten voor dezelfde duur als deze van de Hoofdovereenkomst en vangt aan na ondertekening door beide Partijen.

8.2. Tenzij anders schriftelijk overeengekomen, leidt de beëindiging van de Hoofdovereenkomst tot een automatische beëindiging van de Opdracht.

Artikel 9 – Diverse bepalingen

9.1. Tenzij uitdrukkelijk anders voorzien, kan onderhavige overeenkomst slechts gewijzigd of aangevuld worden door middel van een schriftelijke overeenkomst, ondertekend door de gemachtigde vertegenwoordigers van Partijen.

9.2. Indien enige bepaling van onderhavige overeenkomst ongeldig of onafdwingbaar wordt bevonden om welke reden ook, zullen de overige delen of bepalingen hierdoor niet worden aangetast en geldig en afdwingbaar blijven, alsof de ongeldige of onafdwingbare delen of bepalingen niet in deze overeenkomst zijn begrepen. In voorkomend geval verbinden Partijen zich ertoe te goeder trouw een nieuwe bepaling te

onderhandelen die de ongeldige of onafdwingbare bepaling integraal vervangt en die, voor zover mogelijk, het dichtst de oorspronkelijke wil van Partijen benadert.

Bijlage 1 – Opdracht tot verwerking

1. Categorieën van Betrokkenen:

- Klanten en prospecten van de Verwerkingsverantwoordelijke;

- Het personeel en sollicitanten van de Verwerkingsverantwoordelijke;

- Leveranciers van de Verwerkingsverantwoordelijke.

2. Categorieën van Persoonsgegevens:

2.1. Het personeel en sollicitanten van de Verwerkingsverantwoordelijke:

▪ Identificatiegegevens:

- Naam,

- Adres,

- Telefoonnummer, GSM,

- Functietitel,

- Identificatiegegevens toegekend door de werkgever;

- Rijksregisternummer; identiteitskaartnummer, enz.;

▪ Datum in en uit dienst;

▪ Persoonlijk e-mailadres, e-mailadres voor e-loonbrief;

▪ Uurregeling, gewerkte uren, afwezigheden en redenen van afwezigheid;

▪ Elektronische lokalisatiegegevens (GSM, GPS, …);

▪ Financiële identificatiegegevens:

- Bankrekeningnummer, schulden gekend in het kader loonbeslag en –overdracht;

- Loon: betalingen en afhoudingen van loon, vergoedingen, toeslagen, extralegale voordelen, datum van laatste loonsverhoging;

- Vervoermiddel, afstand woon-werk;

- Onkostennota’s;

▪ Persoonlijke kenmerken:

- Leeftijd, geslacht, geboortedatum en -plaats, burgerlijke staat, nationaliteit;

- Samenstelling van het gezin, kinderen ten laste;

- Verblijfsstatuut: bijzonderheden betreffende het visum, arbeidsvergunning, bijzondere voorwaarden betreffende het verblijfsrecht;

▪ Opleiding en vorming:

- Academische curriculum: overzicht van de bezochte scholen, instellingen, universiteiten, aard van de gevolgde cursussen, beoogde diploma’s, examenresultaten, overige behaalde diploma’s, primaire bronverificatie, beoordeling van de vooruitgang die in de studies worden gemaakt;

- Beroepsbekwaamheid en professionele ervaring.

2.2. Leveranciers en klanten van de Verwerkingsverantwoordelijke:

▪ Identificatiegegevens (naam, adres, telefoonnummer, GSM);

▪ E-mailadressen;

▪ Financiële identificatiegegevens.

2.3. Prospecten van de Verwerkingsverantwoordelijke

▪ Identificatiegegevens (naam, adres, telefoonnummer, GSM);

▪ E-mailadressen;

3. Doel van de verwerking:

- Uitvoering van de Hoofdovereenkomst tussen de Verwerker en Verwerkingsverantwoordelijke;

- Opslag en beveiliging van de Persoonsgegevens;

- Back-up van de Persoonsgegevens.

4. Verwerkingsactiviteiten

- Opslag van de Persoonsgegevens;

- Back-up van de Persoonsgegevens;

- Verwerking i.h.k.v. het professionele beheer van een CRM-pakket;

- Verwerking i.h.k.v. het professionele beheer van de IT-infrastructuur.

Bijlage 2 – Overzicht van de beveiligingsmaatregelen

1. Technische beveiligingsmaatregelen

- Up-to-date antivirus

- …

2. Organisatorische maatregelen

- Beveiligde toegang tot het gebouw,

- …..