CHARTER OVER DE VERWERKING VAN PERSOONSGEGEVENS IN HET KADER VAN DE DIENSTEN VAN VERISURE VOOR BEELDEN/VIDEO'S/OPNAMES VAN (BEWAKINGS)CAMERA'S
CHARTER OVER DE VERWERKING VAN PERSOONSGEGEVENS IN HET KADER VAN DE DIENSTEN VAN VERISURE VOOR BEELDEN/VIDEO'S/OPNAMES VAN (BEWAKINGS)CAMERA'S
In het kader van het onderhavige Charter maakt de Klant gebruik van de diensten van Verisure NV en wordt hij de "Verwerkingsverantwoordelijke" genoemd en wordt Verisure NV de "Verwerker" genoemd. Dit charter heeft alleen betrekking op beelden/video's/opnames van (bewakings)camera's.
De Verwerkingsverantwoordelijke en de Verwerker zullen individueel worden aangeduid als de "Partij" en gezamenlijk als de "Partijen".
In overeenstemming met artikel 37 van de AVG heeft de Verwerker een functionaris voor gegevensbescherming ("DPO") aangesteld, die bereikbaar is per e-mail op xxxxxxx@xxxxxxxx.xx of per post op Xxxxxxxxxxx 00, 0000 Xxxxx.
PREAMBULE:
De Partijen hebben een Overeenkomst gesloten voor het leveren van diensten voor bewaking op afstand, aangeboden door Verisure NV, evenals de installatie, de inbedrijfstelling, het onderhoud en, indien van toepassing, de service van de apparatuur voor de bewaking op afstand die noodzakelijk is voor het leveren van de genoemde diensten (hierna de "Overeenkomst" genoemd).
In het kader van de Verordening 2016/679 betreffende de bescherming van persoonsgegevens (hierna de "AVG" genoemd) harmoniseert het onderhavige Charter hun contractuele relaties met de vereisten van artikel 28 van de AVG (het "Charter").
Artikel 1. Definities
In het onderhavige Charter worden de volgende termen als volgt gedefinieerd:
1.1 "Gegevens": betekent alle persoonsgegevens die per definitie betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon (hierna "de betrokkene" genoemd). Een "identificeerbare" persoon is een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name door te verwijzen naar een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificatiecode of een of meer elementen die specifiek zijn voor de fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit van die natuurlijke persoon;
1.2 "Verwerking": betekent elke bewerking of reeks bewerkingen die worden uitgevoerd op Gegevens of een verzameling van Gegevens, al dan niet met geautomatiseerde middelen, zoals het verzamelen, vastleggen, organiseren, structureren, opslaan, aanpassen of wijzigen, opvragen, raadplegen, gebruiken, openbaar maken door middel van doorzending, verspreiden of anderszins beschikbaar stellen, afstemmen of combineren, beperken, wissen of vernietigen van Gegevens;
1.3 "Verwerkingsverantwoordelijke": betekent de natuurlijke of rechtspersoon die het doel van en de middelen voor de verwerking vaststelt, in dit geval de Verwerkingsverantwoordelijke;
1.4 "Verwerker": betekent de natuurlijke of rechtspersoon die de Gegevens verwerkt ten behoeve van de Verwerkingsverantwoordelijke;
1.5 "Derden": betekent een natuurlijke of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de Verwerkingsverantwoordelijke, noch de Verwerker, noch de personen die onder rechtstreeks gezag van de Verwerkingsverantwoordelijke of Verwerker gemachtigd zijn om Gegevens te verwerken;
1.6 "Inbreuk": betekent een Inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde bekendmaking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Gegevens;
1.7 "Subverwerker": betekent de door de Verwerker aangewezen Verwerker;
1.8 "AVG": betekent de verordening (EU) 2016/ 679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG;
Artikel 2. Doel van het Charter
2.1 Verisure NV is een particulier beveiligingsbedrijf dat gespecialiseerd is in het leveren van bewakingsdiensten op afstand aan particuliere en professionele klanten in België (de "Diensten").
2.2 In het kader van de uitvoering van het Charter verwerkt Verisure NV Gegevens in naam en voor rekening van de Klant, de Verwerkingsverantwoordelijke. Meer in het bijzonder treedt Verisure NV op als Verwerker uitsluitend met betrekking tot het beheer en de opslag van beelden/video's/opnames van de (bewakings)camera's en treedt de klant in dit opzicht op als de Verwerkingsverantwoordelijke omdat hij:
- de (bewakings)camera's van de Verwerker gebruikt in het kader van de algemene uitvoering van de Overeenkomst en beslist of hij opnames wenst te verkrijgen;
- bepaalt hoe lang beelden/video's/opnames worden bewaard in het geval van reële en/of niet-reële incidenten:
• Minimaal 7 dagen en maximaal 730 dagen voor reële incidenten - standaard 360 dagen als de Verwerkingsverantwoordelijke geen keuze heeft gemaakt;
• Minimaal 7 dagen en maximaal 30 dagen voor valse alarmen - standaard 30 dagen als de Verwerkingsverantwoordelijke geen keuze heeft gemaakt;
- bepaalt of de beelden/video's/opnames van een geverifieerd lopend alarm al dan niet in realtime door de Verwerker met de politie worden gedeeld - standaard is dit het geval als de Verwerkingsverantwoordelijke geen keuze heeft gemaakt;
- de Verwerker binnen 7 dagen informeert over een incident, ongeacht of het om een reëel incident gaat of niet;
- Bij ontvangst van een verzoek van de politie om toegang tot de beelden, zal de toestemming van de Verwerkingsverantwoordelijke vooraf worden gevraagd door de Verwerker, op voorwaarde dat (i) het niet gaat om een verzoek van de politie op het moment van het incident en de Verwerkingsverantwoordelijke de Verwerker toestemming geeft om ze te delen/niet heeft gereageerd op de door de Verwerker voorgestelde keuzes (standaardkeuze). Dit zal echter niet het geval zijn als een autoriteit Verisure NV opdraagt foto's/video's en/of andere informatie door te sturen na een incident in overeenstemming met de wettelijke vereisten.
- De Verwerker verwerkt de Gegevens om de alarmen te verifiëren en te reageren op incidenten (de "Verisure Monitoring Services");
2.3 Voor alle andere Gegevens die door Verisure NV worden verwerkt, anders dan beelden/video's/opnames van (bewakings)camera's, treedt Verisure NV op als Verwerkingsverantwoordelijke en niet als Verwerker.
Het onderhavige Charter is daarom niet van toepassing op andere gegevensverwerkingsactiviteiten (anders dan de hierboven genoemde met betrekking tot beelden/video's/opnames van (bewakings)camera's) die door Verisure worden uitgevoerd in het kader van de uitvoering van het alarmservicecontract met de klant. Voor deze activiteiten treedt Verisure daarentegen op als verwerkingsverantwoordelijke. De gegevensverwerkingsactiviteiten die onder het onderhavige Charter zijn uitgesloten, zijn in het bijzonder de volgende:
• Uitvoering van de diensten waarop de klant heeft ingetekend als onderdeel van de overeenkomst voor bewaking op afstand en beheer (met inbegrip van facturering, hardware- en software-updates en technische ondersteuning).
• Het beheer van verzoeken van klanten;
• Facturering van maandelijkse kosten;
• Administratief beheer van klantendossiers;
• Versturen van vragenlijsten over klanttevredenheid;
• Versturen van informatie over onze producten en soortgelijke diensten om de klant op de hoogte te houden;
• Verwerking van klantgegevens voor statistische doeleinden;
• Gegevensverwerking van de in het actieplan genoemde personen;
• Versturen van directe marketingberichten over onze beveiligingsproducten en - diensten;
• Klantgegevens kunnen ook worden verwerkt voor verkoop-, marketing-, bedrijfsontwikkelings-, service- en prijsdoeleinden.
Dit is een niet-limitatieve lijst. Meer informatie is beschikbaar in het privacybeleid van Verisure (Privacyverklaring - Verisure).
2.4 Het onderhavige Charter is opgesteld om ervoor te zorgen dat de Partijen hun verplichtingen uit hoofde van de regelgeving inzake de bescherming van persoonsgegevens nakomen.
2.5 Het Charter en de Overeenkomst zijn onderling afhankelijk en kunnen niet afzonderlijk worden beëindigd.
2.6 Beide Partijen komen overeen te handelen in overeenstemming met alle toepasselijke bepalingen van de Europese en Belgische wetgeving inzake gegevensbescherming, evenals met hun respectieve verplichtingen die voortvloeien uit het onderhavige Charter.
Artikel 3. Verplichtingen van de Verwerkingsverantwoordelijke
3.1 Teneinde de Verwerker in staat te stellen de Diensten te leveren, stemt de Verwerkingsverantwoordelijke ermee in en garandeert hij aan de Verwerker de Gegevens te zullen geven die noodzakelijk zijn voor de uitvoering van de Diensten.
3.2 De Verwerkingsverantwoordelijke verklaart en garandeert dat alle Gegevens die door de Verwerker namens de Verwerkingsverantwoordelijke worden verwerkt in het kader van de uitvoering van de Overeenkomst, door de Verwerkingsverantwoordelijke worden verzameld en verwerkt in overeenstemming met de toepasselijke bepalingen inzake gegevensbescherming.
3.3 Als Verwerkingsverantwoordelijke moet de Verwerkingsverantwoordelijke alle nodige maatregelen nemen om te garanderen dat de Persoonsgegevens eerlijk en rechtmatig worden verwerkt, zodat de verwerking van de Gegevens door de Verwerker, in het kader van de Diensten, kan worden uitgevoerd in overeenstemming met de toepasselijke bepalingen inzake de bescherming van Persoonsgegevens.
3.4 Dit houdt onder andere de verplichting in voor de Verwerkingsverantwoordelijke om, voor zover de Verwerkingsverantwoordelijke niet in aanmerking komt voor een uitzondering waarin de wet voorziet, informatieborden te plaatsen (met name op basis van de wet van 21 maart 2007 inzake camera's) zodat deze zichtbaar zijn voor derden voordat zij het op afstand bewaakte gebied betreden en zodat zij weten dat het gebied op afstand wordt bewaakt. De bovengenoemde borden moeten basisinformatie bevatten over het bestaan van een controlesysteem, de identiteit van de Verwerkingsverantwoordelijke, de plaats waar betrokkenen hun rechten op het gebied van gegevensbescherming kunnen uitoefenen en waar ze de nodige informatie kunnen vinden over de manier waarop hun Gegevens worden verwerkt.
Artikel 4. Toepassingsgebied van het Charter en duur
De klant is verantwoordelijk voor de verwerking en Verisure is alleen de Verwerker voor de verwerking van deze beelden/video's/opnames van de (bewakings)camera's gedurende de looptijd van de Overeenkomst. De Verwerker volgt en past de volgende instructies van de Verwerkingsverantwoordelijke toe:
• Plaatsing van de camera's op de door de klant gevraagde locatie;
• Plaatsing van de onderdelen (camera's) gekozen door de klant;
• Levering aan de klant van de functionaliteit "comfortmodus" waarmee de klant de beelden/video's van het alarmsysteem en, indien van toepassing, het geluid onafhankelijk kan beheren;
• Onderhoud van de camera’s op locatie op verzoek van de klant;
• Implementatie van de door de klant gekozen bewaarperiode voor beelden/video's/opnames van valse alarmen en reële incidenten;
• Het al dan niet delen van beelden/video's/opnames met derden zoals politiediensten en/of verzekeringsmaatschappijen, afhankelijk van de keuze die de klant hiervoor maakt;
• Classificatie van de foto's/video's van reële incidenten op basis van instructies van de klant binnen 7 dagen.
Artikel 5. Algemene bepalingen
5.1 Basisprincipes - De bepalingen van het onderhavige Charter moeten worden gelezen en geïnterpreteerd in overeenstemming met de AVG.
De Verwerkingsverantwoordelijke machtigt de Verwerker om de in artikel 4 "Toepassingsgebied van het Charter en duur" vermelde verwerkingsactiviteiten uit te voeren in overeenstemming met de bepalingen van het onderhavige Charter. Deze toestemming is beperkt tot de diensten die door de Verwerker namens de Verwerkingsverantwoordelijke worden geleverd.
De Verwerker verwerkt de Xxxxxxxx in overeenstemming met de instructies van de Verwerkingsverantwoordelijke.
De Verwerker mag de Gegevens niet verwerken voor andere dan de in artikel 4 "Toepassingsgebied van het Charter en duur" genoemde doeleinden of op een wijze die onverenigbaar is met die doeleinden. Als een van de doeleinden of instructies in het onderhavige Charter onverenigbaar is met de toepasselijke wetgeving inzake gegevensbescherming, moet de Verwerker de Verwerkingsverantwoordelijke hiervan op de hoogte stellen voordat hij de Gegevens verwerkt. De Verwerker is gemachtigd om uitsluitend Gegevens te verwerken in de categorieën die zijn gedefinieerd in artikel 4 van het Charter en in overeenstemming met de daarin beschreven verplichtingen, en dit uitsluitend voor zover deze noodzakelijk zijn om de specifieke doelstellingen te bereiken die in hetzelfde artikel 4 zijn beschreven.
Het Charter is bindend voor de Verwerker en, waar van toepassing, zijn huidige en toekomstige dochterondernemingen en filialen.
5.2 Voorrang en wijziging van het Charter - Indien eerder andere overeenkomsten zijn gesloten tussen de Partijen met betrekking tot hetzelfde onderwerp, zal het onderhavige Charter voorrang hebben op elke andere overeenkomst met betrekking tot de verwerking van Gegevens.
Afwijkingen van en aanvullingen op het onderhavige Charter zijn alleen geldig indien deze uitdrukkelijk schriftelijk door de Partijen zijn overeengekomen.
Artikel 6. Communicatie aan Derden en overdracht buiten België
6.1 Communicatie aan Derden - Communicatie van Xxxxxxxx aan Derden zal altijd plaatsvinden in strikte overeenstemming met de verplichtingen die de Verwerker worden opgelegd onder de AVG.
Communicatie van Xxxxxxxx aan Derden, op welke wijze dan ook (bijvoorbeeld via elektronische verzending, uitzending, publicatie of op welke andere wijze dan ook), is
alleen mogelijk indien dit noodzakelijk is voor de uitvoering van de opdracht van de Verwerker of voor de uitvoering van een verplichting die wettelijk is opgelegd aan de Verwerkingsverantwoordelijke. De Verwerker zal, voor zover mogelijk, de Verwerkingsverantwoordelijke op de hoogte stellen van elke communicatie die plaatsvindt in het kader van een wettelijke verplichting.
6.2 Overdracht buiten België - De Verwerker slaat de Gegevens op in de Europese Economische Ruimte (EER) of in landen met een passend niveau van gegevensbescherming. Deze landen hebben wetten die vergelijkbaar zijn met die van België als het gaat om de bescherming van Gegevens. Dit komt omdat ze worden gedeeld binnen de bredere groep van Verisure, die gevestigd is in verschillende landen, en niet alleen worden opgeslagen op onze servers in België. Dit delen van Gegevens is gebaseerd op het afsluiten van een overeenkomst voor gegevensoverdracht binnen de groep.
Als de Verwerker Gegevens moet delen met bedrijven die gevestigd zijn in landen waar het niveau van gegevensbescherming niet adequaat is, zal de Verwerker ervoor zorgen dat passende waarborgen worden ingevoerd om een adequaat beschermingsniveau te garanderen, zoals bijvoorbeeld standaardcontracten die op Europees niveau zijn goedgekeurd.
Neem contact op met onze DPO voor meer informatie over de getroffen beschermingsmaatregelen en over hoe u een kopie hiervan kunt ontvangen of raadplegen. De Verwerkingsverantwoordelijke wordt per e-mail geïnformeerd over de redenen voor de overdracht en de plaats van overdracht. De Verwerkingsverantwoordelijke heeft het recht om binnen 72 uur na deze kennisgeving bezwaar te maken.
Er wordt overeengekomen dat de Verwerker geen Gegevens zal overdragen buiten de Europese Unie of naar een land dat geen adequaat beschermingsniveau heeft.
Artikel 7. Subverwerkers
7.1 Algemene toestemming - De Verwerker verkrijgt algemene toestemming om Subverwerkers aan te stellen, met inachtneming van de verplichtingen van de Verwerker in dit verband onder de AVG. In het bijzonder stemt de Verwerkingsverantwoordelijke er door het gebruik van de beveiligingscamera's mee in dat de opnamen/geluiden/beelden/video's van deze beveiligingscamera's worden opgeslagen in de cloud die beschikbaar wordt gesteld door Amazon Web Services ("AWS") en dat de Verwerker bijgevolg gebruik maakt van de uitbestedingsdiensten van AWS in verband met de levering van alarmdiensten.
7.2. Naleving van wettelijke verplichtingen in geval van aanstelling van een Subverwerker –
De identiteit van de aangestelde of reeds aangestelde Subverwerkers zal worden meegedeeld aan de Verwerkingsverantwoordelijke. De Verwerker is verplicht om de Verwerkingsverantwoordelijke onmiddellijk op de hoogte te stellen van elke toevoeging of vervanging van een Subverwerker. De Verwerkingsverantwoordelijke heeft altijd de mogelijkheid om bezwaar te maken tegen deze wijzigingen.
Tussen de Verwerker en de Subverwerker wordt een overeenkomst gesloten waarin dezelfde verplichtingen worden overeengekomen als in het onderhavige Charter. De Verwerker zal de Subverwerker zo snel mogelijk op de hoogte brengen van elke wijziging, verwijdering of beperking van de Gegevens waarvan hij op de hoogte is.
Indien een Subverwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, is de Verwerker als enige aansprakelijk jegens de Verwerkingsverantwoordelijke voor het niet nakomen van zijn verplichtingen door de Subverwerker.
Artikel 8. Vertrouwelijkheid en bevoegde personen
8.1 Vertrouwelijke gegevens - De Verwerker erkent de strikt vertrouwelijke aard van de Gegevens die hij verwerkt in overeenstemming met het onderhavige Charter.
Gegevens verliezen hun vertrouwelijke aard alleen wanneer ze expliciet openbaar worden gemaakt of op uitdrukkelijk verzoek van de Verwerkingsverantwoordelijke.
Behoudens de bepalingen van de vorige paragraaf blijft deze geheimhoudingsplicht ook na beëindiging van de Overeenkomst bestaan.
8.2 Bevoegde personen - De Verwerker zal de toegang tot de Gegevens beperken tot die werknemers die er toegang toe moeten hebben om de dienstverleningsopdracht van de Verwerker uit te voeren.
De Verwerker garandeert dat de personen die gemachtigd zijn om de Gegevens te verwerken, met inbegrip van de werknemers aan wie toegang is verleend, zich contractueel hebben verplicht tot geheimhouding. De Verwerker zal de bevoegde personen informeren over de principes van het onderhavige Charter en zal hen de toepasselijke richtlijnen voor gegevensbescherming opleggen.
Artikel 9. Veiligheidsmaatregelen en hulp
9.1 Passende technische en organisatorische veiligheidsmaatregelen - De Verwerker implementeert passende technische en organisatorische veiligheidsmaatregelen (Bijlage 1), evenals de procedures die nodig zijn om te voldoen aan de wettelijke verplichtingen die worden opgelegd door de AVG, met name met betrekking tot de beveiliging van de verwerking, zoals versleuteling, anonimisering, traceerbaarheid van de toegang tot de Gegevens, door de nodige instructies te geven aan de personen die de Gegevens verzamelen, en, in het algemeen, alle middelen te implementeren die het mogelijk maken om de vertrouwelijkheid, integriteit en beschikbaarheid van de Gegevens te waarborgen.
Dienovereenkomstig zal de Verwerker de nodige voorzorgsmaatregelen nemen om de Gegevens te beschermen tegen, onder andere, ongeoorloofde toegang, diefstal, vernietiging, verlies, wijziging, openbaarmaking, reproductie of verspreiding, hetzij per ongeluk hetzij onwettig.
De veiligheidsmaatregelen worden geïmplementeerd door de Verwerker, rekening houdend met de stand van de techniek, de kosten die gepaard gaan met de implementatie en de risico's die inherent zijn aan de verwerking.
Indien de Verwerkingsverantwoordelijke van mening is dat de technische en organisatorische maatregelen voor de verwerking van de Gegevens een risico vormen voor de betrokkenen, dan heeft de Verwerkingsverantwoordelijke het recht om de uitvoering van de opdracht te beëindigen of tijdelijk op te schorten totdat de noodzakelijke aanpassingen zijn doorgevoerd.
9.2. Hulp
De Verwerker beveelt de Verwerkingsverantwoordelijke aan om, voor zover mogelijk en noodzakelijk, passende technische en organisatorische veiligheidsmaatregelen te treffen, zoals:
⮚ een wachtwoord om het bestand met de afbeeldingen te beveiligen als ze worden gedeeld;
⮚ identificatie en authenticatie van personen die toegang hebben tot opgeslagen beelden;
⮚ beveiligde opslagapparaten, zoals beveiligde servers om de beelden, video's en opnames van deze bewakingscamera's te hosten;
⮚ bescherming van het netwerk waarop de camera's en opslagapparaten zijn aangesloten door middel van firewalls en inbraakdetectiesystemen om ongeoorloofde toegang te voorkomen
In overeenstemming met de AVG blijft de Verwerkingsverantwoordelijke echter als enige verantwoordelijk voor het implementeren van deze technische en organisatorische maatregelen.
9.3. In overeenstemming met de verplichtingen die worden opgelegd door de AVG zal de Verwerker de Verwerkingsverantwoordelijke binnen een redelijke termijn en op passende wijze alle informatie verstrekken die nodig is om de Verwerkingsverantwoordelijke te helpen om:
⮚ te voldoen aan zijn verplichting om de Gegevensbeschermingsautoriteit en de betrokkenen te informeren in het geval van een inbreuk op Persoonsgegevens waarbij de Verwerker betrokken is. In het laatste geval moet de Verwerker zich houden aan de termijnen en procedures die worden beschreven in artikel 12 "Inbreuk op gegevens".
⮚ adequaat te reageren op verzoeken en klachten van betrokkenen. In het laatste geval moet de Verwerker zich houden aan de termijnen in artikel 10 "Rechten van de betrokkenen”.
Op verzoek van de Verwerkingsverantwoordelijke informeert de Verwerker de Verwerkingsverantwoordelijke over de details van de verwerking. Hij verbindt zich ertoe de Verwerkingsverantwoordelijke toegang te verlenen tot de Gegevens, alsook tot alle documentatie, systemen en software en, in het algemeen, tot elke installatie waarmee de Gegevens worden verwerkt, op voorwaarde dat het niet gaat om vertrouwelijke informatie die specifiek is voor de Verwerker en die hij per definitie niet openbaar mag maken.
De Verwerker zal de Verwerkingsverantwoordelijke onmiddellijk op de hoogte stellen als hij van mening is dat een instructie een inbreuk vormt op de AVG of andere bepalingen inzake gegevensbescherming.
Artikel 10. Rechten van de betrokkenen
10.1 Kennisgevings- en klachttermijn - De Verwerker stelt de Verwerkingsverantwoordelijke zonder onnodige vertraging (en niet later dan 24 uur nadat hij er kennis van heeft genomen) in kennis van een klacht of vordering die de betrokkene in verband met een Verwerking tegen de Verwerker heeft ingediend.
De Verwerker zal niet reageren op klachten of vorderingen zonder de toestemming van de Verwerkingsverantwoordelijke. Indien de Verwerker gemachtigd is, zal de Verwerker in dit opzicht de expliciete instructies van de Verwerkingsverantwoordelijke opvolgen. De Verwerker zal alle diensten factureren die hij in dit verband voor de Verwerkingsverantwoordelijke moet uitvoeren.
10.2 Termijn voor het verstrekken van relevante informatie - Om de Verwerkingsverantwoordelijke te helpen voldoen aan de antwoordtermijn die de AVG hem oplegt, zal de Verwerker binnen 48 uur reageren op alle verzoeken van de Verwerkingsverantwoordelijke met betrekking tot de Gegevensverwerkingsactiviteiten die het onderwerp zijn van de vraag of klacht, voor zover dit binnen zijn technische vaardigheden en mogelijkheden valt. De Verwerker zal alle diensten factureren die hij in dit verband op verzoek van de Verwerkingsverantwoordelijke moet uitvoeren.
Artikel 11. Register van verwerkingsactiviteiten en effectbeoordeling inzake Gegevensbescherming
11.1 Register van verwerkingsactiviteiten - De Verwerker moet een register bijhouden van alle verwerkingsactiviteiten die hij namens de Verwerkingsverantwoordelijke uitvoert, in overeenstemming met zijn verplichtingen onder de AVG. Dit register van verwerkingsactiviteiten zal worden opgesteld in overeenstemming met de bepalingen van de AVG in dit verband. De Belgische Gegevensbeschermingsautoriteit stelt het volgende model voor: model-van-register-van-verwerkingsactiviteiten.xlsx (xxxx.xxx)
11.2 Effectbeoordeling inzake Gegevensbescherming - De Verwerker verbindt zich ertoe alle nodige informatie betreffende de Gegevensverwerking te verstrekken aan de Verwerkingsverantwoordelijke om deze laatste, indien nodig, te helpen bij het uitvoeren van een effectbeoordeling inzake Gegevensbescherming.
De Verwerker zal de Verwerkingsverantwoordelijke bijstaan wanneer deze verplicht is de bevoegde toezichthoudende autoriteiten te raadplegen voorafgaand aan een verwerking, indien uit een effectbeoordeling blijkt dat de beoogde verwerking een hoog risico met zich meebrengt en dat er maatregelen moeten worden genomen om dit risico te beperken. De Verwerker zal alle diensten factureren die hij in dit verband op verzoek van de Verwerkingsverantwoordelijke moet uitvoeren.
Artikel 12. Inbreuk op Gegevens
12.1 Kennisgeving - In geval van een inbreuk op Persoonsgegevens informeert de Verwerker de Verwerkingsverantwoordelijke zo snel mogelijk - en in ieder geval binnen 24 uur - nadat hij zich bewust is geworden van de inbreuk, en indien nodig via zijn DPO. De volgende informatie moet minimaal worden verstrekt:
I. Een beschrijving van de aard en de oorzaak van de vastgestelde inbreuk;
II. Categorieën Gegevens waarop de inbreuk betrekking heeft;
III. De categorieën en bij benadering het aantal mensen dat door de schending wordt getroffen;
IV. Het (geschatte) aantal getroffen databases;
V. Contactgegevens van een persoon bij wie informatie over de schending kan worden verkregen;
VI. De vermoedelijke gevolgen van de schending, de risico's voor de betrokkenen en de genomen of voorgestelde maatregelen om de schending ongedaan te maken, met inbegrip van de vermindering van negatieve gevolgen.
Indien en voor zover het niet mogelijk is om alle informatie tegelijkertijd te verstrekken, zal de eerste kennisgeving de informatie bevatten die op dat moment beschikbaar is en zal aanvullende informatie worden verstrekt zodra deze beschikbaar is. De Verwerker zal alle diensten factureren die hij in dit verband op verzoek van de Verwerkingsverantwoordelijke moet uitvoeren.
12.2 Verplichting tot samenwerking - In geval van een inbreuk werkt de Verwerker samen met de Verwerkingsverantwoordelijke en helpt hij de Verwerkingsverantwoordelijke bij het nakomen van zijn verplichtingen op grond van de artikelen 33 en 34 van de AVG, rekening houdend met de aard van de verwerking waarop de inbreuk betrekking heeft en de informatie waarover de Verwerker beschikt. De Verwerker zal alle diensten factureren die hij in dit verband op verzoek van de Verwerkingsverantwoordelijke moet uitvoeren.
Artikel 13. Rechten van toezicht
13.1 Toezicht op de Verwerker door de Verwerkingsverantwoordelijke - De Verwerkingsverantwoordelijke heeft het recht om, met voorafgaande toestemming van de Verwerker wat betreft de dag en het tijdstip daarvan, een inspectie of audit uit te voeren van de organisatie van de Verwerker om vast te stellen of de Gegevens worden verwerkt in overeenstemming met de verplichtingen die zijn vastgelegd in het onderhavige Charter en in de AVG.
De kosten van het toezicht zijn voor rekening van de Verwerker indien blijkt dat hij zijn verplichtingen onder het onderhavige Charter niet is nagekomen.
Als uit de audit blijkt dat bepaalde verplichtingen niet zijn nagekomen, wordt er een overlegvergadering gehouden tussen de Verwerkingsverantwoordelijke en de Verwerker. Tijdens deze vergadering zullen de Partijen besluiten welke maatregelen moeten worden genomen om zo snel mogelijk aan de verplichtingen van het Charter en de AVG te voldoen.
13.2 Toezicht door een bevoegde autoriteit - Indien de Verwerkingsverantwoordelijke door een bevoegde overheidsinstantie wordt gecontroleerd, verbindt de Verwerker zich ertoe volledig en te goeder trouw mee te werken, met name door de Verwerkingsverantwoordelijke binnen een redelijke termijn alle relevante informatie te verstrekken. De Verwerker zal alle diensten factureren die hij in dit verband op verzoek van de Verwerkingsverantwoordelijke moet uitvoeren.
Artikel 14. Aansprakelijkheid
14.1 Klachten - De Verwerker vrijwaart de Verwerkingsverantwoordelijke tegen alle klachten van Xxxxxx en Betrokkenen die voortvloeien uit het niet naleven door de Verwerker van de verplichtingen uit het onderhavige Charter en de toepasselijke wettelijke verplichtingen met betrekking tot Gegevensbescherming.
14.2 Schadevergoeding - Alle schade geleden door een betrokkene of Derde als gevolg van het niet naleven door de Verwerker van de verplichtingen uiteengezet in het Charter of van de toepasselijke wettelijke verplichtingen met betrekking tot Gegevensbescherming, zal ten laste worden gelegd van de Verwerker.
De Verwerker kan alleen van deze aansprakelijkheid worden vrijgesteld als hij bewijst dat hij niet in gebreke is gebleven bij het schenden van de contractuele of wettelijke bepalingen.
Artikel 15. Slotbepalingen
15.1 Inwerkingtreding en einde van het Charter - Het onderhavige Charter treedt in werking op de datum van ondertekening van de Overeenkomst door beide Partijen en eindigt op het einde van de Overeenkomst, niettegenstaande de verplichtingen die daarna moeten worden nagekomen, zoals het naleven van de vertrouwelijkheidsclausule.
Onverminderd de bepalingen van de AVG kan de Verwerkingsverantwoordelijke, indien de Verwerker zijn verplichtingen uit hoofde van de bepalingen van het onderhavige Charter niet nakomt, de Verwerker verzoeken de verwerking op te schorten totdat de Verwerker heeft voldaan aan de bepalingen van het Charter en de AVG of totdat de Overeenkomst is beëindigd. De Verwerker zal de Verwerkingsverantwoordelijke onmiddellijk op de hoogte stellen indien hij, om welke reden dan ook, niet in staat is om de bepalingen van het Charter na te leven.
De Verwerkingsverantwoordelijke heeft het recht om het onderhavige Charter te beëindigen:
I. Indien de verwerking door de Verwerker is opgeschort door de Verwerkingsverantwoordelijke in overeenstemming met de vorige paragraaf en indien de naleving van de bepalingen van het Charter niet wordt hersteld binnen een redelijke termijn en in ieder geval binnen een maand na de opschorting;
II. Indien de Verwerker een ernstige of voortdurende inbreuk pleegt op de bepalingen van het onderhavige Charter of op de AVG die na kennisgeving niet binnen een redelijke termijn kon worden verholpen;
III. Indien de Verwerker een bindende beslissing van een bevoegde rechtbank of bevoegde toezichthoudende autoriteiten met betrekking tot zijn verplichtingen krachtens de bepalingen van het onderhavige Charter of de AVG niet naleeft.
De Verwerker heeft het recht om het onderhavige Charter te beëindigen indien, nadat hij de Verwerkingsverantwoordelijke ervan op de hoogte heeft gesteld dat zijn instructies een inbreuk vormen op de AVG of andere bepalingen inzake Gegevensbescherming, de Verwerkingsverantwoordelijke volhardt in zijn instructies.
15.2 Teruggave of vernietiging van Gegevens - De Verwerkingsverantwoordelijke kan de Verwerker schriftelijk verzoeken om alle Gegevens binnen 30 kalenderdagen na beëindiging van het onderhavige Charter terug te geven, voor zover de Verwerker de Gegevens niet hoeft te bewaren. Deze teruggave gebeurt via een beveiligde bestandsoverdracht. Als de Verwerkingsverantwoordelijke niet binnen de gespecificeerde termijn om teruggave van de Gegevens verzoekt, zal de Verwerker de Gegevens vernietigen na afloop van de door de klant gekozen bewaartermijn voor valse incidenten en reële incidenten. Als de klant geen bewaartermijn heeft gekozen, worden de Gegevens vernietigd na afloop van de standaard bewaartermijn die door Verisure worden toegepast, zonder voorafgaande kennisgeving aan de Verwerkingsverantwoordelijke.
15.3 Toepasselijk recht en bevoegde rechtbank - Het onderhavige Charter en alle geschillen of vorderingen die eruit voortvloeien, zijn onderworpen aan het Belgisch recht.
Alle geschillen of vorderingen die voortvloeien uit het onderhavige Charter zullen worden beslecht door de bevoegde rechter in het arrondissement waar de Klant is gevestigd.
15.4 Ongeldige bepalingen - Het onderhavige Charter is deelbaar en als een of meer bepalingen die de essentie zelf van het Charter niet raken, geheel of gedeeltelijk ongeldig, nietig of niet toepasbaar worden verklaard, heeft dit geen invloed op de geldigheid en toepasbaarheid van de andere bepalingen.
De Partijen zullen te goeder trouw onderhandelen om de bepaling die geheel of gedeeltelijk ongeldig, nietig of onuitvoerbaar is verklaard, te vervangen door een wettelijke, geldige en uitvoerbare bepaling, rekening houdend met het doel en de reikwijdte van de oorspronkelijke bepaling.
Bijlage 1- Passende minimale technische en organisatorische veiligheidsmaatregelen
Deze bijlage 1 bevat concrete gegevens over de veiligheidsmaatregelen die de Verwerker heeft genomen ter bescherming van de Gegevens die voor de Verwerkingsverantwoordelijke worden verwerkt.
1. Technische IT-veiligheidsmaatregelen
Gegevensbevei liging beheren | Van veiligheid een onderwerp maken dat gedeeld en ondersteund wordt door het managementteam |
Regelmatig de doeltreffendheid van de geïmplementeerde veiligheidsmaatregelen beoordelen en een aanpak voor continue verbetering hanteren | |
Een kader definiëren voor gebruikers | Een IT-charter opstellen met de voorwaarden voor het gebruik van IT-systemen, beveiligingsregels en de aanwezige administratieve middelen |
Het charter bindend maken en de sancties voor niet-naleving vastleggen | |
Gebruikers betrekken en opleiden | Bewustwording onder personen die werken met Xxxxxxxx |
De inhoud van bewustmakingscampagnes aanpassen aan de doelgroep en hun taken | |
Gebruikers authentisere n | Elke gebruiker een unieke identificatie ("login") geven |
Een wachtwoordbeleid toepassen dat voldoet aan de CNIL-aanbevelingen | |
Geen automatisch of door een beheerder toegekend wachtwoord | |
De rechten beheren | Rechtenprofielen definiëren |
Verouderde toegangsrechten verwijderen | |
Een jaarlijkse beoordeling van de rechten |
De werkposten beveiligen | Een automatische vergrendelingsprocedure van de sessie voorzien |
Een firewall installeren en configureren | |
Regelmatig bijgewerkte antivirussoftware gebruiken | |
De toestemming van de gebruiker vragen voordat er werk wordt uitgevoerd op hun werkstation | |
Het informati canetwer k beschermen | Netwerkstromen beperken tot wat strikt noodzakelijk is |
Wifi-netwerken beveiligen, met name door het WPA3-protocol te implementeren | |
Externe toegang tot mobiele computers beveiligen via VPN | |
Het netwerk partitioneren, bijvoorbeeld door een DMZ (gedemilitariseerde zone) op te zetten | |
Servers beveiligen | Onnodige services en interfaces verwijderen of uitschakelen |
De toegang tot beheertools en interfaces beperken tot bevoegd personeel | |
Kritieke updates onmiddellijk installeren, na ze waar nodig getest te hebben | |
De websites beveiligen | Gegevensuitwisselingsstromen beveiligen |
Controleren of er geen geheimen of persoonlijke gegevens via URL's worden doorgegeven |
Controleren of gebruikersinvoer overeenkomt met wat wordt verwacht | |
Toezicht houden op IT- ontwikkelingen | Al in de ontwerpfase rekening houden met gegevensbescherming |
Standaard privacy-vriendelijke instellingen aanbieden | |
Uitgebreide tests uitvoeren voordat een product beschikbaar wordt gesteld of wordt bijgewerkt | |
Gebouwe n bescherm en | De toegang tot gebouwen beperken met vergrendelde deuren/badges |
Inbraakalarm installeren en regelmatig controleren | |
Uitwisselingen met de buitenwereld beveiligen | Ervoor zorgen dat het de juiste ontvanger is |
Onderaannemin gen beheren (indien van toepassing) | Specifieke clausules opnemen in contracten met onderaannemers |
De voorwaarden vastleggen voor het terugsturen en vernietigen van gegevens | |
Ervoor zorgen dat de verstrekte garanties doeltreffend zijn (bijv.: veiligheidsaudits, bezoeken) | |
Toezicht houden op het onderhoud en einde van de levensduur van hardware en software | Onderhoudswerkzaamheden vastleggen in een logboek |
Toezicht houden op interventies door derden door een verantwoordelijke | |
Gegevens van alle apparatuur wissen voordat deze wordt afgevoerd | |
Page 15 sur 17 |
Activiteiten traceren | Een logsysteem voorzien |
Gebruikers informeren over de invoering van het logsysteem | |
Logapparatuur en gelogde informatie beschermen | |
Regelmatig sporen analyseren om incidenten te detecteren | |
Back-ups | Regelmatige back-ups maken |
Back-ups beschermen, zowel tijdens de opslag als het transport | |
Regelmatig het herstel en de integriteit van back-ups testen | |
Incidenten en schendingen beheren | Waarschuwingen van het logsysteem verwerken |
Interne procedures en verantwoordelijkheden vastleggen voor incidentenbeheer, inclusief de procedure voor het melden van inbreuken op persoonsgegevens aan regelgevende instanties | |
Risicoanalyse | Een risicoanalyse uitvoeren, zelfs minimaal, op de beoogde Gegevensverwerking |
De voortgang van het actieplan bewaken waartoe is besloten na de risicoanalyse | |
De risicoanalyse regelmatig herzien | |
Versleuteling, hashing, ondertekening | Erkende en veilige algoritmen, software en bibliotheken gebruiken |
Geheimen en cryptografische sleutels veilig bewaren |
Cloud: Cloud computing | Clouddiensten opnemen in de risicoanalyse |
De veiligheidsmaatregelen van de leverancier evalueren | |
Ervoor zorgen dat verantwoordelijkheden inzake beveiliging zijn toegewezen in het contract | |
Zorgen voor hetzelfde beveiligingsniveau in de cloud als op locatie | |
Mobiele toepassinge n: Ontwerp en ontwikkeling | Rekening houden met de specifieke kenmerken van de mobiele omgeving om de hoeveelheid verzamelde persoonlijke gegevens te verminderen en de vereiste toestemmingen te beperken² |
Communicatie inkapselen in een TLS-kanaal | |
Artificial Intelligence: Ontwerp en leren | Goede beveiligingspraktijken toepassen die van toepassing zijn op IT-ontwikkeling |
API: Application Programming Interface | De beveiliging van toegang tot API's en gegevens organiseren en documenteren |
Het delen van gegevens beperken tot de beoogde personen en doeleinden |
2. Genomen organisatorische maatregelen
• Veiligheids- en risicoplan
• Bedrijfscontinuïteitsplan
• Richtlijnen voor werknemers om persoonsgegevens te beschermen (bijv. clean desk policy)
• Beleid inzake gegevensbescherming (uitwisseling, vernietiging, opslag, enz.)
• Sensibilisering van het personeel
• Plan voor het melden van datalekken en incidenten
• Veiligheidsprocedures en -richtlijnen controleren
• Contractuele maatregelen met derden (gegevensverwerkingsovereenkomsten)
3. Gegevens van de DPO van de Verwerker
• Postadres: 00 Xxx xx xx Xxxxx, 0000 Xxxxxx