Memorandum van 22/01/2024 : Vereisten inzake gegevensbescherming

Annex van de ‘Makelaarsovereenkomst’

Memorandum van 22/01/2024 : Vereisten inzake gegevensbescherming

die de relatie regelt tussen

de makelaar in hypothecair krediet en

BNP Paribas Fortis Credit Brokers nv

BNP Paribas Fortis Credit Brokers nv, Warandeberg 8 bus 5, B-1000 Brussel, RPR Brussel - btw BE0452.211.723. BNP Paribas Fortis Credit Brokers nv, verzekeringstussenpersoon, Xxxxxxxxxxx 0 xxx 0, X-0000 Xxxxxxx, RPR Brussel - BTW BE0452.211.723, is ingeschreven onder dit nummer bij de FSMA, Xxxxxxxxxxxxx 00-00, 0000 Xxxxxxx, en handelt als verbonden agent, vergoed door commissies, voor AG Insurance nv. BNP Paribas Fortis Credit Brokers nv is exclusief bankagent van BNP Paribas Fortis nv. BNP Paribas Fortis Credit Brokers nv distribueert als bemiddelaar in hypothecair krediet (verbonden agent) de hypothecaire kredieten van BNP Paribas Fortis nv, onder voorbehoud van aanvaarding door de kredietgever.

Kredietgever: BNP Paribas Fortis nv, Xxxxxxxxxxx 0, X-0000 Xxxxxxx, RPR Brussel - btw BE0403.199.702.

Voorafgaande opmerkingen 3

Art. 1 Inleiding 3

Art. 2 Definities 3

Art. 3 Verantwoordelijkheden 4

Art. 4 Informatiebeveiligingsprogramma 4

Art. 5 Verantwoordelijkheden van de Verwerker (makelaar) 4

Art. 6 Kennisgeving van een gegevensinbreuk 9

Art. 7 Toepasselijk recht 10

Art. 8 Nawerking 10

Voorafgaande opmerkingen

De tekst van dit memorandum is aangepast aan de situatie van BNP Paribas Fortis Credit Brokers en zijn makelaars, om te voldoen aan de wetten op de bescherming van de privacy, maar creëert geen enkel additionele verplichtingen voor de makelaars betreffende deze wetten en wetgevingen, in het bijzonder de EU verordening 2016/679 van 27april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van Persoonsgegevens en betreffende het vrije verkeer van die gegevens die in werking treedt op 25 mei 2018.

Dit memorandum is van toepassing op BNP Paribas Fortis Credit Brokers nv (hierna de Verwerkingsverantwoordelijke) en op alle makelaars hypothecair krediet (hierna de Verwerker) die een getekende overeenkomst hebben met BNP Paribas Fortis Credit Brokers nv: de ‘Makelaarsovereenkomst’.

Naar dit memorandum wordt verwezen in de algemene voorwaarden van de aanvraag hypothecair krediet van BNP Paribas Fortis Credit Brokers.

Art. 1 INLEIDING

Deze annex werd opgesteld om de bescherming van de Persoonsgegevens van de opdrachtgever contractueel te garanderen.

Art. 2 DEFINITIES

2.1 Persoonsgegevens: zoals gedefinieerd in de Algemene Verordening Gegevensbescherming (verordening 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van Persoonsgegevens en betreffende het vrije verkeer van die gegevens): iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon ('betrokkene'); als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van een of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit.

2.2 Gegevens van de Verwerkingsverantwoordelijke: betekent alle gegevens met betrekking tot de relatie met de Verwerkingsverantwoordelijke – met inbegrip van de overeenkomst zelf – de activiteiten, personeelsleden, cliënteel, verbonden ondernemingen en Verwerkers van de Verwerkingsverantwoordelijke, de interne regelgeving van de Verwerkingsverantwoordelijke en werkwijzen, gebouwen en voorzieningen, ontwerpen, plannen, schema's, overzichten, de werking van de hardware, de bestanden, de software van de verwerkingsverantwoordelijke en alle informatie van de Verwerkingsverantwoordelijke waar de Verwerker op enige wijze kennis van verwerft, evenals gegevens die de Verwerker verzamelt, aanmaakt, bewerkt of wijzigt in het kader van de diensten. Alle gegevens van de Verwerkingsverantwoordelijke worden geacht vertrouwelijke informatie te zijn.

2.3 Wetten en Verordeningen: Richtlijn EU 95/46, de Belgische privacywet van 8 december 1992 en – van zodra van toepassing - de Algemene Verordening Gegevensbescherming (verordening 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van Persoonsgegevens en betreffende het vrije verkeer van die gegevens).

2.4 De Partijen

(a) BNP Paribas Fortis Credit Brokers: Verwerkingsverantwoordelijke

(b) Makelaar die een ‘Makelaarsovereenkomst’ ondertekend heeft: de Verwerker

2.5 Werkopdracht of werkbeschrijving: schriftelijke beschrijving van de Verwerkingsverantwoordelijke van de contractuele clausules tussen de partijen gerelateerd aan de te leveren diensten door de Verwerker. Deze beschrijving bevat minstens:

- De stroom van Persoonsgegevens;

- De categorieën van getransfereerde Persoonsgegevens;

- De categorieën van betrokkenen;

- De doeleinden van de overdracht van Persoonsgegevens;

- De verantwoording voor de overdracht van Persoonsgegevens;

- Project tijdslijn, mijlpalen, start en duur tijd van de werkopdracht;

- De belangrijkste vertegenwoordigers van de Verwerkingsverantwoordelijke; en

- Aanvullende wederzijdse beëindigingsmodaliteiten.

Art. 3 VERANTWOORDELIJKHEDEN

Met betrekking tot de persoonsgegevens die ze verzamelt en verwerkt in het kader van de uitvoering van de ‘Makelaarsovereenkomst’, wordt elke partij in overeenstemming met de Wetten en Verordeningen, als volgt beschouwd:

• de Verwerkingsverantwoordelijke (BNP Paribas Fortis Credit Brokers) wordt beschouwd als de verantwoordelijke voor de verwerking van de Persoonsgegevens die in het kader van de ‘Makelaarsovereenkomst’ verwerkt worden; en

• de Verwerker (makelaar) wordt beschouwd als de Verwerker van de Persoonsgegevens die in het kader van de ‘Makelaarsovereenkomst’ verwerkt worden.

Elke partij moet bijgevolg alle verplichtingen krachtens dit memorandum uitvoeren in volstrekte overeenstemming met de toepasselijke Wetten en Verordeningen, en mag geen handelingen stellen of tolereren die kunnen leiden tot een inbreuk op genoemde Wetten en Verordeningen.

Art. 4 INFORMATIEBEVEILIGINGSPROGRAMMA

Elke partij moet een allesomvattend schriftelijk informatiebeveiligingsprogramma ontwikkelen, implementeren, in stand houden en naleven dat beantwoordt aan alle Wetten en Verordeningen. Het informatiebeveiligingsprogramma van elke partij moet, zonder daartoe beperkt te zijn, technische, fysieke, administratieve en organisatorische beschermingsmaatregelen omvatten om:

a) de veiligheid en vertrouwelijkheid van Persoonsgegevens te waarborgen; door strenge encryptie van e-mails gestuurd door beide partijen (Transport Layer Security systeem)

b) bescherming te bieden tegen alle verwachte bedreigingen of gevaren voor de veiligheid en integriteit van Persoonsgegevens; en

c) bescherming te bieden tegen elke daadwerkelijke ongeoorloofde vorm van verwerking, verlies, gebruik, bekendmaking of verwerving van of toegang tot Persoonsgegevens (hierna 'gegevensinbreuk').

Elke partij stemt ermee in om toepasselijke richtlijnen en aanbevelingen van de regelgevingsautoriteiten inzake informatiebeveiliging in aanmerking te nemen in haar informatiebeveiligingsprogramma.

Het informatiebeveiligingsprogramma van elke partij moet, onder andere, voorzien in regelmatige tests of andere manieren om de doeltreffendheid van de informatiebescherming op te volgen.

Art. 5 VERANTWOORDELIJKHEDEN VAN DE VERWERKER (MAKELAAR)

5.1. Instructies van de Verwerkingsverantwoordelijke en doelbinding

Onverminderd artikel 2.1 worden, indien de partijen overeenkomen dat een partij zal optreden als verwerker (hierna 'Verwerker' genoemd) namens de andere partij die optreedt als verwerkingsverantwoordelijke, (hierna 'Verwerkingsverantwoordelijke' genoemd). De respectieve rollen en verantwoordelijkheden van elke partij beschreven in de betreffende werkopdracht (Bijlage 1 of geschreven verklaring van de Verwerkingsverantwoordelijke) en moet worden voldaan aan onderstaande verplichtingen. Indien de Verwerker in het kader van dit memorandum Persoonsgegevens verwerkt namens de Verwerkingsverantwoordelijke, moet de Verwerker (en moet de Verwerker erop toezien dat zijn onder-verwerkers) de gegevens enkel verwerken in het kader van die verwerking en enkel namens en volgens de instructies van de Verwerkingsverantwoordelijke, tenzij enige wetgeving hem ertoe verplicht daarvan af te wijken; in dat geval moet de Verwerkingsverantwoordelijke vóór de verwerking over die wettelijke verplichting informeren en bespreken de partijen hoe ze verder te werk gaan, tenzij die wetgeving de informatieverstrekking verbiedt om belangrijke redenen van algemeen belang.

Bovendien moet de Verwerker samenwerken met de Verwerkingsverantwoordelijke voor de verwerking om ervoor te zorgen dat:

- er een rechtsgrond aanwezig is om de gegevensverwerking legitiem te maken;

- de gegevens rechtmatig en behoorlijk worden verwerkt;

- er een legitiem doel bestaat voor het verwerken van de Persoonsgegevens;

- de transparantie van het gebruik van persoonsgegevens en van de verwerkingsmethode is gewaarborgd, met inbegrip van de verplichte wettelijke maatregelen om de transparantie te verbeteren voor de betrokkenen.

De Verwerker stelt de Verwerkingsverantwoordelijke onmiddellijk in kennis indien naar zijn mening een instructie inbreuk oplevert op de Wetten en Verordeningen of op andere Unierechtelijke of lidstaatrechtelijke bepalingen inzake gegevensbescherming.

5.2. Bewaring van gegevens

De Verwerker moet:

a) gegevens van de Verwerkingsverantwoordelijke (met inbegrip van back-ups en archieven) maar zo lang opslaan als nodig is voor de doeleinden waarvoor de gegevens verzameld werden, tenzij er een wettelijke of contractuele verplichting geldt om de gegevens langer te bewaren. Zodra het doel is vervuld, en als er geen gegevens terugbezorgd moeten worden aan de Verwerkingsverantwoordelijke, moeten de gegevens onherroepelijk worden verwijderd uit de systemen van de Verwerker (behalve in geval van wettelijke of contractuele verplichtingen). Bewaring na afloop van de bewaartermijn door de Verwerker moet worden aangevraagd aan en goedgekeurd door de Verwerkingsverantwoordelijke (tenzij in geval van wettelijke verplichtingen).

Indien gegevens – met goedkeuring van de Verwerkingsverantwoordelijke – bewaard worden nadat de dienstverlening beëindigd werd, moet de Verwerker de gegevens van de Verwerkingsverantwoordelijke op eenvoudig verzoek van de Verwerkingsverantwoordelijke voor de verwerking terugbezorgen of verwijderen.

De Verwerkingsverantwoordelijke mag een bewijs vragen van de verwijdering van de gegevens uit de systemen van de Verwerker.

5.3. Technische en organisatorische maatregelen

De Verwerker moet:

a) de vereiste technische en organisatorische beveiligings- en vertrouwelijkheidsmaatregelen nemen en implementeren, zoals omschreven in de Wetten en Verordeningen, om een gepast beveiligingsniveau voor het risico te waarborgen, met inbegrip van onder meer, indien van toepassing:

a) de pseudonimisering en versleuteling van persoonsgegevens;

b) het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en weerbaarheid van de verwerkingssystemen en diensten te garanderen;

c) het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de Persoonsgegevens tijdig te herstellen;

d) een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking;

b) een totale scheiding waarborgen tussen zijn eigen gegevens, gegevens van zijn andere klanten of Verwerkers en de gegevens van de Verwerkingsverantwoordelijke;

c) waarborgen dat de toegang tot, de inspectie, de verwerking en het verstrekken van de gegevens van de Verwerkingsverantwoordelijke uitsluitend plaatsvindt in overeenstemming met de

toepasselijke wetgeving inzake gegevensbescherming en het 'need-to-know'-principe, d.w.z. dat er alleen informatie wordt verstrekt aan de personen die deze gegevens nodig hebben voor hun werk in verband met de uitvoering van de werkopdracht;

d) erop toezien dat geen enkele persoon zich zonder toestemming of detectie toegang kan verschaffen tot kritieke informatie of deze zonder toestemming of detectie kan wijzigen of gebruiken;

e) bij de beoordeling van het passende beveiligingsniveau met name rekening houden met de verwerkingsrisico's, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig;

f) alle maatregelen nemen die vereist zijn krachtens artikel 32 van de Algemene Verordening Gegevensbescherming en de Verwerkingsverantwoordelijke bijstaan bij het naleven van de verplichtingen krachtens artikel 32 ('Beveiliging van de verwerking'), artikel 33 ('Melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit'), artikel 34 ('Mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene'), artikel 35 ('Gegevensbeschermingseffectbeoordeling') en artikel 36 ('Voorafgaande raadpleging') van de Algemene Verordening Gegevensbescherming.

5.4. Verzoeken van de Verwerkingsverantwoordelijke en samenwerking

De Verwerker moet:

a) alle redelijke verzoeken van de Verwerkingsverantwoordelijke in verband met zijn verwerking van de gegevens onverwijld en naar behoren afhandelen;

b) samenwerken met de Verwerkingsverantwoordelijke op basis van passende technische en organisatorische maatregelen om gegevens te verstrekken, te corrigeren of te wissen dan wel de gegevensverwerking te beperken in geval van een verzoek van de betrokkene tot inzage in, overdraagbaarheid van, correctie of verwijdering van gegevens;

c) de Verwerkingsverantwoordelijke op diens eerste verzoek een kopie bezorgen van alle Persoonsgegevens die in het kader van zijn activiteiten als Verwerker verwerkt werden, in een geschikt formaat.

d) de Verwerkingsverantwoordelijke onverwijld inlichten over (i) elk juridisch bindend verzoek van een regelgevingsautoriteit om de gegevens mee te delen, tenzij dit om enige reden verboden is, zoals een strafrechtelijk verbod teneinde de geheimhouding van een onderzoek naar de naleving van de wet te bewaren, (ii) elke toevallige of ongeoorloofde toegang waarvan hij kennis heeft;

e) in geval van een gegevensinbreuk, zijn medewerking verlenen aan de Verwerkingsverantwoordelijke en alle nodige en opgevraagde informatie verstrekken om de Verantwoordelijke voor de verwerking in staat te stellen zijn kennisgevingsplicht na te leven;

5.5. Gegevenskwaliteit

De Verwerker moet:

a) een procedure opzetten om ervoor te zorgen dat de verwerkte gegevens juist, betrouwbaar en bijgewerkt zijn. Onjuiste of irrelevante gegevens moeten onmiddellijk respectievelijk worden gecorrigeerd of gewist;

b) de Verwerkingsverantwoordelijke onmiddellijk informeren wanneer onjuiste of irrelevante gegevens worden gecorrigeerd of gewist.

5.6. Opvolging en controle

De Verwerker moet:

a) zijn faciliteiten voor de verwerking van Persoonsgegevens onderwerpen aan een audit van de verwerkingsactiviteiten, die wordt uitgevoerd door een of meer vertegenwoordigers van de

bevoegde gegevensbeschermingsautoriteiten, om aan te tonen dat hij alle verantwoordelijkheden uit hoofde van wet- of regelgeving, alle aansprakelijkheden krachtens de Wetten en Verordeningen en alle contractuele verplichtingen naleeft;

b) logbestanden bewaren (documenten die server-level log informatie bevatten wanneer verzoek tot opladen van een document is gemaakt tijdens het bezoek aan een website) in overeenstemming met de Wetten en Verordeningen en de vereisten van de Verwerkingsverantwoordelijke. De opslag van logbestanden moet op een veilige en controleerbare manier gebeuren, zodat wijzigingen en voortijdige verwijdering ofwel onmogelijk, ofwel herstelbaar zijn;

c) ervoor zorgen dat veiligheidslogbestanden op het einde van de bewaringstermijn volgens een vastgelegde procedure en op een veilige manier worden vernietigd;

d) het gebruik van systemen met relevante informatie registreren teneinde in staat te zijn ongeoorloofde activiteiten op te sporen. Deze beveiligingsregistratie moet het mogelijk maken om terug te gaan naar de oorsprong van de gebeurtenis zodat specifieke personen kunnen worden verbonden met specifieke gebeurtenissen.

Met betrekking tot de gegevens die namens de Verwerkingsverantwoordelijke verwerkt worden, moet de Verwerker aan de hand van beveiligingsregistratie toezicht uitoefenen op het gedrag van zijn interne en externe personeelsleden, in overeenstemming met de toepasselijke arbeidswetgeving en alleen wanneer er redelijke aanwijzingen zijn voor misbruik. De Verwerkingsverantwoordelijke moet onmiddellijk ingelicht worden.

5.7. Overdracht van gegevens en onder-verwerking

De Verwerker moet:

a) zeker stellen dat zonder voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke in het kader van dit memorandum geen Persoonsgegevens worden doorgegeven naar landen buiten de Europese Economische Ruimte (EER) die geen toereikend beschermingsniveau waarborgen. Indien de diensten gepaard gaan met een overdracht van Persoonsgegevens naar landen buiten de Europese Economische Ruimte (EER) die geen toereikend beschermingsniveau waarborgen, zijn de modelcontractbepalingen voor de overdracht van Persoonsgegevens aan in derde landen gevestigde Verwerkers krachtens de Wetten en Verordeningen, als vermeld in het Besluit van de Europese Commissie van 5 februari 2010 (2010/87/EG) ('de Bepalingen'), van toepassing. De partijen komen overeen dat de Bepalingen worden ondertekend door de Verwerkingsverantwoordelijke (BNP Paribas Fortis Credit Brokers of 'Gegevensexporteur') en de onder-Verwerker (‘gegevensimporteur’) en ondertekend door de Verwerker (de makelaar) voor kennisname;

b) zich zonder specifieke of algemene schriftelijke toestemming van de Verwerkingsverantwoordelijke onthouden van de volledige of gedeeltelijke uitbesteding van de activiteiten zoals omschreven in de werkopdracht (Bijvoegsel 1 of een geschreven verklaring van de Verwerkingsverantwoordelijke). In het geval van algemene schriftelijke toestemming licht de Verwerker de Verwerkingsverantwoordelijke in over beoogde veranderingen inzake toevoeging of vervanging van andere verwerkers, waarbij de Verwerkingsverantwoordelijke de mogelijkheid wordt geboden tegen deze veranderingen bezwaar te maken;

c) de verplichtingen van dit memorandum opleggen aan zijn eigen onder-verwerkers. Indien deze onder-verwerkers hun verplichtingen op het vlak van gegevensbescherming niet nakomen, blijft de oorspronkelijke Verwerker volledig aansprakelijk ten aanzien van de Verwerkingsverantwoordelijke voor de uitvoering van de verplichtingen van die onder-verwerkers;

d) alleen de minimaal vereiste gegevens doorgeven aan zijn onder-verwerkers om in staat te zijn de gevraagde dienst(en) te leveren;

e) informatie-uitwisseling met Persoonsgegevens tussen departementen en organisaties beperken tot de doeleinden waarvoor de Persoonsgegevens verzameld werden en zich baseren op gedocumenteerde processen en passende technische beveiligingsmaatregelen.

5.8. Vertrouwelijkheid

De Verwerker moet:

a) die Persoonsgegevens aan niemand bekendmaken, tenzij dat verplicht of toegelaten is krachtens dit memorandum of met voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke;

b) zijn personeelsleden en alle personen die onder zijn toezicht werken informeren over de bepalingen inzake gegevensbescherming in dit memorandum en ervoor zorgen dat het personeel van de Verwerker dat toegang heeft tot Persoonsgegevens, de Persoonsgegevens van klanten verwerken in overeenstemming met de ontvangen instructies, richtlijnen of opleiding en uitsluitend voor zakelijke doeleinden;

c) waarborgen dat de personen die gemachtigd zijn voor het verwerken van de Persoonsgegevens zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden, en waarborgen dat de personeelsleden van de Verwerker weten dat een inbreuk op de informatiebeveiliging, niet-naleving van de verplichtingen inzake informatiebeveiliging of ongeoorloofde raadpleging of verwerking kan leiden tot tuchtmaatregelen;

d) stappen nemen om ervoor te zorgen dat elke natuurlijke persoon die onder het gezag van de Verwerker optreedt en toegang heeft tot Persoonsgegevens, deze uitsluitend verwerkt in opdracht van de Verwerkingsverantwoordelijke, tenzij hij wettelijk tot de verwerking gehouden is;

e) ervan afzien een kopie te maken van de gegevens, behalve voor zover dat nodig is voor de uitvoering van dit memorandum.

5.9. Toestemming

Indien de Verwerker met het oog op de uitvoering van de dienst Persoonsgegevens moet verzamelen in opdracht van de Verwerkingsverantwoordelijke, moet de Verwerker:

a) in samenwerking met de Verwerkingsverantwoordelijke een procedure opzetten voor het geval dat vóór de uitvoering van de dienst, toestemming moet worden gevraagd.

Behalve waar uitdrukkelijk anders wordt vermeld, moet de toestemming expliciet, vrij, specifiek en geïnformeerd worden gegeven. Een verzoek om toestemming moet duidelijk van andere zaken te onderscheiden zijn;

b) erop toezien dat toestemming van de betrokkene wordt verkregen bij elke systematische en uitgebreide beoordeling van persoonlijke aspecten op basis van automatische verwerking, met inbegrip van profilering, en op basis waarvan beslissingen worden genomen die juridische of anderszins betekenisvolle gevolgen hebben voor de natuurlijke persoon.

De Verwerkingsverantwoordelijke en de Verwerker moeten rekening houden met elk bezwaar van een betrokkene tegen automatische verwerking;

c) zich onthouden van het traceren, opslaan, bewaren of verder verwerken van Persoonsgegevens die online beschikbaar zijn op publieke of semipublieke websites (zoals sociale netwerksites) zonder dat de persoon daarvan op de hoogte is en daarvoor toestemming heeft gegeven.

Opgeslagen informatie die met toestemming werd verzameld van publieke, netwerking- of sociale websites mag alleen langer dan zes maanden worden bewaard indien de gegevens gedepersonaliseerd zijn en er geen persoonlijk identificeerbare informatie meer uit afgeleid kan worden;

d) ervan afzien om gegevens te verwerken over kinderen jonger dan 16, tenzij uitdrukkelijk toestemming wordt verkregen van de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt;

e) erop toezien dat, indien de werkopdracht (Bijvoegsel 1 of een geschreven verklaring van de Verwerkingsverantwoordelijke) betrekking heeft op het realiseren van direct marketing campagnes door een Verwerker:

- de toestemming van de betrokkene werd verkregen;

- er rekening wordt gehouden met elk bezwaar tegen direct marketing.

5.10. Documentatie

De Verwerker en indien van toepassing de vertegenwoordiger van de Verwerker moeten een register bijhouden van alle categorieën verwerkingsactiviteiten die uitgevoerd worden namens de Verwerkingsverantwoordelijke, met de volgende gegevens:

a) de naam en contactgegevens van de Verwerker(s);

b) de naam en contactgegevens van de Verwerkingsverantwoordelijke namens wie de Verwerker optreedt;

c) indien van toepassing, de naam en contactgegevens van de vertegenwoordiger van de Verwerkingsverantwoordelijke of van de Verwerker, alsmede van de data protection officer;

d) de categorieën van verwerking die namens de Verwerkingsverantwoordelijke worden verricht;

e) een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen die de Verwerker heeft geïmplementeerd.

5.11. Testen

Indien het nodig is om live operationele gegevens voor testdoeleinden te gebruiken, moet de Verwerker aan de volgende verplichtingen voldoen:

a) de toegangscontroleprocedures die van toepassing zijn op operationele applicatiesystemen moeten ook van toepassing zijn op testapplicatiesystemen;

b) elke keer dat er operationele informatie wordt gekopieerd naar een testapplicatiesysteem, moet daarvoor afzonderlijke goedkeuring worden verkregen;

c) zodra de test is afgerond, moet de operationele informatie uit het testapplicatiesysteem worden gewist;

d) het kopiëren en gebruiken van operationele informatie moet worden geregistreerd om over een controlespoor te beschikken.

Art. 6 KENNISGEVING VAN EEN GEGEVENSINBREUK

6.1. Met betrekking tot de Persoonsgegevens die een Verwerker verwerkt namens de Verwerkingsverantwoordelijke moet de Verwerker de Verwerkingsverantwoordelijke onmiddellijk schriftelijk inlichten over elke gegevensinbreuk in verband met deze Persoonsgegevens, zodat de Verwerkingsverantwoordelijke zijn kennisgevingsplicht, zoals opgelegd door de Wetten en Verordeningen, kan nakomen. De Verwerker moet de Verwerkingsverantwoordelijke in het bijzonder onmiddellijk inlichten over:

a) de vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig; en

b) elk gekend beveiligingsprobleem in verband met de diensten dat tot dergelijke incidenten kan leiden.

De Verwerker is niet aansprakelijk voor een dergelijke gegevensinbreuk indien de Verwerker de instructies van de Verwerkingsverantwoordelijke en de toepasselijke Wetten en Verordeningen nauwgezet heeft nageleefd. In dat geval erkent en aanvaardt de Verwerkingsverantwoordelijke dat hij als enige, samen met BNP Paribas Fortis, verantwoordelijk is voor alle kennisgevingen aan gegevensbeschermingsautoriteiten of andere regelgevingsautoriteiten naar aanleiding van een

gegevensinbreuk op zijn informatiebeveiligingsprogramma, en dat hij als enige verantwoordelijk is voor alle kennisgevingen aan betrokkenen naar aanleiding van enige gegevensinbreuk.

6.2. Met betrekking tot de Persoonsgegevens die een Verwerker namens de Verwerkingsverantwoordelijke verwerkt onder de ‘Makelaarsovereenkomst’ moet de Verwerker een gedetailleerd register bijhouden van alle inbreuken in verband met Persoonsgegevens. Dat gedetailleerde register omvat ten minste de volgende inlichtingen:

a) de aard van de inbreuk in verband met Persoonsgegevens, waar mogelijk met vermelding van de categorieën van betrokkenen en Persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en Persoonsgegevensregisters in kwestie;

b) de naam en de contactgegevens van de data protection officer van de Verwerker;

c) de waarschijnlijke gevolgen van de inbreuk in verband met Persoonsgegevens;

d) de maatregelen die de Verwerker en/of Verwerkingsverantwoordelijke heeft voorgesteld of genomen naar aanleiding van de inbreuk in verband met Persoonsgegevens.

6.3. De Verwerker moet de nodige interne en externe processen implementeren, met inbegrip van mechanismen voor kennisgeving, escalatie en klachtenafhandeling, voor het beheer van gegevensinbreuken, identiteitsdiefstal of fraude.

6.4. Indien een gegevensinbreuk het gevolg is van tekortkomingen, nalatigheid of fouten bij de Verwerker, moet de Verwerker onmiddellijk corrigerende maatregelen nemen.

6.5. De Verwerkingsverantwoordelijke kan medewerking van de Verwerker afdwingen bij het vervullen van de wettelijke verplichtingen in verband met de gegevensinbreuk. Als de Verwerkingsverantwoordelijke zijn wettelijke verplichtingen niet kan nakomen wegens een gebrek aan medewerking vanwege de Verwerker, kan de ‘Makelaarsovereenkomst’ met de Verwerker unilateraal door de Verwerkingsverantwoordelijke worden beëindigd.

Art. 7 TOEPASSELIJK RECHT

7.1. Deze bepalingen vallen onder de Wetten en Verordeningen van de EU-lidstaat waar de Verwerkingsverantwoordelijke is gevestigd, namelijk België.

7.2. De bepalingen inzake gegevensbeschermingsaspecten voor sub-verwerking van het memorandum vallen onder de Wetten en Verordeningen van de EU-lidstaat waar de Verwerkingsverantwoordelijke gevestigd is, namelijk België.

Art. 8 NAWERKING

8.1. De verplichtingen uit hoofde van dit memorandum blijven ook na de einddatum of beëindiging (om welke reden ook) van de ‘Makelaarsovereenkomst’ van kracht.

BIJVOEGSEL 1 BIJ HET MEMORANDUM - WERKOPDRACHT

Dit bijvoegsel maakt deel uit van het Memorandum: 'Vereisten inzake gegevensbescherming', zoals vernoemd in de kredietaanvraag.

1. Stroom van Persoonsgegevens

Deze werkopdracht vereist een overdracht van Persoonsgegevens van de Verwerkingsverantwoordelijke naar de Verwerker van de categorieën van gegevens zoals bepaald in punt 2 van deze werkopdracht.

2. (Speciale) Categorieën van overgedragen Persoonsgegevens

De volgende categorieën van Persoonsgegevens worden getransfereerd van de Verwerkingsverantwoordelijke naar de Verwerker:

 Identificatiegegevens

 Gegevens gezinssituatie

 Informatie over opleiding en loopbaan

 Financiële gegevens

 Gezondheidsgegevens

3. Categorieën van betrokkenen

Klanten die de tussenkomst van een makelaar wensen om een aanvraag voor een hypothecair krediet bij BNP Paribas Fortis Credit Brokers in te dienen.

Makelaars die optreden als tussenpersoon tussen de eindklanten en BNP Paribas Fortis Credit Brokers.

4. Doeleinden van de overdracht van Persoonsgegevens

Het doel van de overdracht van Persoonsgegevens is om de kredietaanvraag van de eindklant in te dienen bij BNP Paribas Fortis Credit Brokers.

5. Verantwoording voor de overdracht van Persoonsgegevens

De makelaar draagt de nodige Persoonsgegevens over naar BNP Paribas Fortis Credit Brokers, om te bepalen of een hypothecair krediet kan worden toegekend.

6. Project tijdslijn, mijlpalen, start en duurtijd van de werkopdracht

De werkopdracht begint op het moment dat de makelaar de overeenkomst met BNP Paribas Fortis Credit Brokers ondertekent en de eerste kredietaanvraag wordt ingediend.

7. Aanvullende wederzijdse beëindigingsmodaliteiten

Indien een partij dit memorandum beëindigd of een initiatief neemt waardoor dit memorandum niet meer van toepassing is met betrekking tot de overeenkomst tussen beide partijen, is het elke partij toegestaan om, zonder melding, vergoeding of enige compensatie de ‘Makelaarsovereenkomst’ te beëindigen.