Toetredingsovereenkomst voor de verwerking van persoonsgegevens in het kader van het Vastgoedinformatieplatform
Toetredingsovereenkomst voor de verwerking van persoonsgegevens in het kader van het
Vastgoedinformatieplatform
TUSSEN:
(1) De gemeente zoals omschreven in Bijlage 1 bij deze Overeenkomst (hierna: gemeente);
EN
(2) De naamloze vennootschap het Vlaams Datanutsbedrijf met merknaam Athumi, zijnde een privaatrechtelijk vormgegeven extern verzelfstandigd agentschap, vertegenwoordigd door transitiemanager Xxxxx Xx Xxxxx, ingeschreven in het KBO met nummer 0795.547.478, waarvan de administratieve zetel zich bevindt te Xxxxxxxxx 00 xxx X, 0000 Xxxxxxx (hierna: Athumi)
Contactgegevens: xxxxxxx@xxxxxx.xx;
Hierna elk afzonderlijk ‘Partij’ en gezamenlijk de ‘Partijen’ genoemd.
OVERWEGENDE DAT,
A. Het Vlaams Datanutsbedrijf met merknaam Athumi is een privaatrechtelijk vormgegeven extern verzelfstandigd agentschap van de Vlaamse overheid met onder meer de taak om platformen te ontwikkelen en beheren en diensten te verlenen die zorg dragen voor de veilige en gewaarborgde afhandeling van de transacties tussen de betrokken burgers, overheidsinstanties of aanvragers, dit overeenkomstig artikel 5, §1, 5° van het decreet van 2 december 2022 houdende machtiging tot oprichting van het privaatrechtelijk vormgegeven extern verzelfstandigd agentschap Vlaams Datanutsbedrijf in de vorm van een naamloze vennootschap.
B. In dat kader biedt Athumi het Vastgoedinformatieplatform (hierna: VIP) aan waarbij ze de vastgoedinformatiestromen tussen overheid, bedrijven en burgers veilig en efficiënt organiseren.
C. Wanneer een gemeente zich aansluit op het VIP dan treedt deze gemeente, samen met Athumi, op als Gezamenlijke Verwerkingsverantwoordelijke in de zin van artikel 26 van de Algemene Verordening Gegevensbescherming (hierna: AVG), voor het ter beschikkingstellen van producten, in overeenstemming met art. 7, 2°, b) van het Decreet van 22 december 2023 over het Vastgoedinformatieplatform (hierna: VIP-decreet). De nodige afspraken, onder meer met betrekking tot hun respectieve verantwoordelijkheid voor de nakoming van de verplichtingen uit hoofde van de AVG, met name met betrekking tot de uitoefening van de rechten van de Betrokkene en de transparantieverplichting, worden geformaliseerd in afdeling 2 van de voorliggende toetredingsovereenkomst (hierna: de Overeenkomst).
D. Athumi treedt op als Verwerker en de gemeente als Verwerkingsverantwoordelijke in het kader van de facturatie en het innen van de gemeentelijke bronretributies. De nodige afspraken tussen Athumi als Verwerker en de gemeente als Verwerkingsverantwoordelijke worden overeenkomstig artikel 28 van de AVG opgelijst in afdeling 3 van deze Overeenkomst.
E. De gemeente treedt als Verwerkingsverantwoordelijke toe door Bijlage 1 in te vullen en deze Overeenkomst te ondertekenen.
F. De Partijen dienen, in overeenstemming met artikelen 26 en art. 28 van de AVG, hun afspraken met betrekking tot de uitvoering en organisatie van deze Verwerking van Persoonsgegevens te formaliseren in deze Overeenkomst voor de Verwerking van Persoonsgegevens.
WERD OVEREENGEKOMEN WAT VOLGT:
1 DEFINITIES
Begrippen die in deze Overeenkomst met hoofdletter worden gebruikt, moeten worden geïnterpreteerd zoals in dit artikel of elders in de Overeenkomst gedefinieerd.
AVG | Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming); | ||||
Betrokkene | De geïdentificeerde of identificeerbare natuurlijke persoon op wie een Persoonsgegeven betrekking heeft zoals bepaald in artikel 4, (1) AVG; | ||||
EER | Europese Economische Ruimte; | ||||
Medewerker | Xxxx werknemer, agent, aannemer, werknemer in loondienst of elke andere persoon die onder rechtstreeks gezag van de Verwerker werkt; | ||||
Subverwerker | Xxxx derde die Persoonsgegevens Verwerkt in opdracht of onder toezicht van Verwerker, maar die niet onder het directe gezag van Verwerker valt; | ||||
Toepasselijke Gegevensbeschermings- wetgeving | De AVG, de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens, en alle wet- en regelgeving en sectorale aanbevelingen die regels bevatten voor de bescherming van de Betrokkenen met betrekking tot de Verwerking, met inbegrip van maar niet beperkt tot de veiligheidseisen voor en het vrije verkeer van Persoonsgegevens; | ||||
VIP-decreet | Decreet van 22 Vastgoedinformatieplatform; | december | 2023 | over | het |
Vastgoedinformatieplatform of VIP | Een elektronisch informatiesysteem om vastgoedinformatie te ontsluiten, samen te voegen en ter beschikking te stellen, zoals bepaald in artikel 2, 20° VIP Decreet; | ||||
Inbreuk in verband met persoonsgegevens of Datalek | Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt of kan leiden tot de vernietiging, het verlies of de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens; | |||||
Persoonsgegevens | Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, zoals bepaald in artikel 4, 1) AVG, die verwerkt wordt; | |||||
Gezamenlijke Verwerkingsverantwoordelijken | De Partijen die, in casu, tot de vaststelling van de doeleinden van en de middelen voor de Verwerking van Persoonsgegevens bijdragen en zich, bijgevolg, zodanig beschouwen in de zin van artikel 26 van de AVG; | |||||
Unierechtelijke lidstaatrechtelijke bepaling | of | Een bepaling opgelegd door lidstaatrechtelijke wetgeving; | de | Unierechtelijke | of | (EU) |
Verwerken / Verwerking | Elke bewerking of geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens, zoals ook gedefinieerd in artikel 4, 2) AVG; | |||||
Verwerkingsverantwoordelijke | Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen; | |||||
Verwerker | Een natuurlijke persoon, een rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat namens de (Gezamenlijke) Verwerkingsverantwoordelijke Persoonsgegevens verwerkt; | |||||
Overeenkomst | Deze overeenkomst, die de afspraken tussen Partijen regelt in de in van artikelen 26 en 28 AVG, , waarin afspraken worden gemaakt ten aanzien van de Verwerking; | |||||
De begrippen van deze Overeenkomst moeten worden gelezen in het licht van het VIP-decreet.
De bepalingen in deze Overeenkomst moeten worden geïnterpreteerd in het licht van de Toepasselijke Gegevensbeschermingswetgeving. Indien deze wetgeving geen duidelijke en ondubbelzinnige interpretatie biedt, moet aan de begrippen de betekenis gegeven worden die de intentie van de Partijen zo dicht mogelijk benadert.
2 BEPALINGEN GELDEND TUSSEN DE GEZAMENLIJKE VERWERKINGSVERANTWOORDELIJKEN (ARTIKEL 26 AVG)
2.1 VOORWERP
Deze afdeling 2 geldt voor die activiteiten waar Partijen optreden als Gezamenlijke Verwerkingsverantwoordelijken. De bepalingen inzake Gezamenlijke Verwerkingsverantwoordelijken in deze Overeenkomst gelden uitsluitend in het kader van het “product vastgoedinlichtingen”, zoals bepaald in artikel 22 VIP-decreet.
Partijen verbinden zich ertoe om de standaarden inzake informatieveiligheid en de wet- en regelgeving inzake de bescherming van natuurlijke personen bij de Verwerking van Persoonsgegevens na te leven, in het bijzonder de AVG.
Elke andere Verwerking anders dan noodzakelijk in het kader van de Overeenkomst is strikt verboden, met inbegrip van de doorgifte van Persoonsgegevens aan derden, een derde land of aan een internationale organisatie, behoudens uitdrukkelijke toestemming van alle Partijen.
2.2 GEPLANDE GEGEVENSSTROMEN
Athumi voegt, a.d.h.v. het VIP, gegevensstromen samen in een product1 en stelt deze ter beschikking aan de ontvangende entiteiten die hier toegang toe mogen krijgen.
De gemeente neemt de rol op van aanleverende entiteit. Athumi neemt hierbij de rol op van platformbeheerder wat inhoudt dat de gegevensstromen via VIP gestroomlijnd worden volgens de VIP informatiestandaard.
Deze Overeenkomst richt zich momenteel enkel tot het “product vastgoedinlichtingen”, als vermeld in hoofdstuk 8 in het VIP-decreet. Het product bevat volgende vastgoedinformatie:
A. vastgoedinformatie met betrekking tot stedenbouwkundig uittreksel, vermeld in artikel 5.2.7 van de Vlaamse Codex Ruimtelijke Ordening;
B. vastgoedinformatie met betrekking tot natuur;
C. vastgoedinformatie met betrekking tot milieu;
D. vastgoedinformatie met betrekking tot huisvesting en woningkwaliteit;
E. vastgoedinformatie met betrekking tot onroerend erfgoed;
F. vastgoedinformatie met betrekking tot heffingen;
G. vastgoedinformatie met betrekking tot wettelijke erfdienstbaarheden van openbaar nut en infrastructuur.
1 Een product is een welbepaalde combinatie van vastgoedinformatie over één perceel, of een onderdeel ervan, die vooraf door het Vlaams Datanutsbedrijf is vastgelegd en die op aanvraag wordt ontsloten door de aanleverende entiteiten. De gemeente kan een aanleverende entiteit zijn voor een product die via het VIP-platform wordt ontsloten.
Een detailbeschrijving van welke velden in deze informatierubrieken gedeeld worden, kan bekeken worden op de gebruikersomgeving van het VIP.
2.3 NALEVING WETGEVING
Partijen verbinden zich ertoe om de Toepasselijke Gegevensbeschermingswetgeving na te leven.
Indien een Partij van oordeel is dat een of meerdere Verwerkingen waarvoor Partijen gezamenlijk verantwoordelijk zijn, niet of niet meer in overeenstemming zijn met Toepasselijke Gegevensbeschermingswetgeving, licht ze de andere Partijen daarover in. Elke Partij zal hieromtrent advies vragen aan hun functionaris voor gegevensbescherming (DPO) en vervolgens gezamenlijk beslissen of deze Verwerkingen al dan niet tijdelijk of permanent dienen te worden stopgezet.
2.4 TRANSPARANTIE
Partijen informeren de Betrokkenen over de Verwerking en het gebruik van hun Persoonsgegevens overeenkomstig de artikelen 12, 13 en 14 AVG.
Partijen zijn elk verantwoordelijk voor het opstellen, bijwerken en eventueel corrigeren van hun privacyverklaring waarin informatie verschaft wordt aan de betrokkene met betrekking tot de Verwerking van Persoonsgegevens.
De Betrokkene zal in duidelijke en begrijpbare taal over zijn rechten worden geïnformeerd alsook over de manier waarop hij die op laagdrempelige wijze kan uitoefenen. De informatie zal gemakkelijk toegankelijk zijn via de privacyverklaring die op het Vastgoedinformatieplatform geplaatst wordt.
2.5 Bewaartermijnen
De meegedeelde gegevens zullen door de Partijen op het VIP gedurende een periode van maximaal één jaar bewaard worden. De gegevens worden niet langer bewaard dan noodzakelijk.
De vastgoedinformatie dient tot één jaar na aflevering nog consulteerbaar te zijn voor aanvragers op het VIP.
2.6 UITOEFENING RECHTEN VAN BETROKKENEN
Partijen communiceren op een duidelijke en eenvoudige wijze met de Betrokkenen overeenkomstig artikel 12 AVG.
Partijen spreken af dat de contacten met de Betrokkenen verlopen zoals hiernavolgend uiteengezet. Xxxxxx neemt de coördinatie van de uitoefening van de rechten van betrokkenen voor zijn rekening. Indien blijkt dat het verzoek betrekking heeft op Persoonsgegevens die de bevoegdheid van een andere Partij, maakt Xxxxxx het verzoek zo snel mogelijk over aan die Partij.
Indien een Betrokkene rechtstreeks contact opneemt met de gemeente om zijn individuele rechten uit te oefenen, zal de gemeente het verzoek overmaken aan Athumi. Athumi zal in voorkomend geval de samenwerking tussen Partijen coördineren om op het verzoek te antwoorden. In geval er acties ondernomen moeten worden door een (Sub)Verwerker, zal Athumi daarvoor afstemmen met de betrokken (Sub)Verwerker.
2.7 CONTACTEN MET DERDEN
Partijen spreken af dat de contacten met derden in het kader van de Verwerking van Persoonsgegevens in eerste instantie verlopen via Athumi, die de coördinatie van de activiteiten voor haar rekening neemt. Indien blijkt dat het concreet gaat over de Verwerking van Persoonsgegevens die behoren tot de bevoegdheid van een andere Partij, maakt Athumi de vraag of het verzoek binnen redelijke termijn over aan de andere Partij.
2.8 RELATIES MET EN AANDUIDING VAN VERWERKERS
Partijen komen overeen dat de relaties met de Verwerker(s) die instaan voor de concrete uitvoering van de Verwerkingen in het kader van het VIP, in eerste instantie toekomen aan Xxxxxx.
Xxxxxx gaat namens alle Partijen na of de Verwerker de passende technische en organisatorische maatregelen neemt om de Verwerking te beveiligen.
Athumi waakt er over dat de Verwerker enkel Subverwerkers aanstelt om Persoonsgegevens in het kader van VIP te verwerken na uitdrukkelijke, specifieke goedkeuring van Athumi.
2.9 Machtigingen en protocollen
Partijen spreken af dat in geval een machtiging aangevraagd moet worden of een protocol afgesloten moet worden, het (DPO-team van) Athumi optreedt als coördinator en facilitator van de werkzaamheden, met dien verstaande dat alle Partijen bij de procedure betrokken worden. Athumi is als coördinator en facilitator bevoegd de machtigingsaanvragen en protocollen te onderhandelen en te ondertekenen.
2.10 HET VERRICHTEN VAN EEN GEGEVENSBESCHERMINGSEFFECTBEOORDELING
De Verwerking door de Partijen die valt onder deze Overeenkomst, vergt het opstellen van een gegevensbeschermingseffectbeoordeling conform artikel 35 AVG. Deze wordt verricht door alle Partijen gezamenlijk, zij het dat de Partijen, vanuit overwegingen inzake efficiëntie, overeenkomen dat Xxxxxx hierbij het initiatief neemt. Als zodanig kan Athumi de risico’s die zich kunnen stellen als gevolg van de Verwerking, identificeren en omschrijven, alsook, aan de Verwerker de maatregelen voorstellen en opleggen die nodig zijn om die risico’s te beheren en te beheersen.
Indien noodzakelijk, ondersteunen de andere Partijen Athumi met het opmaken van een gegevensbeschermingseffectbeoordeling, waar mogelijk, door het overhandigen van de technische en organisatorische maatregelen waar zij over beschikken.
Conform artikel 36 AVG zullen Partijen de toezichthoudende autoriteit voorafgaand raadplegen indien uit de gegevensbeschermingseffectbeoordeling blijkt dat de Verwerking een hoog risico zou opleveren.
2.11 Werkwijze bij een Datalek
Partijen verbinden zich ertoe om elkaar zonder onredelijke vertraging op de hoogte te stellen van elke Inbreuk in verband met persoonsgegevens die impact heeft op de andere Partij of op beide Partijen. In voorkomend geval verschaffen de Partijen elkaar alle informatie die ze nuttig of nodig achten om de
beveiligingsmaatregelen te optimaliseren en die nodig is om een eventuele melding bij de toezichthoudende autoriteit of aan de Betrokkenen in orde te brengen (in overeenstemming met de artikelen 33 en 34 van de AVG).
Deze informatie bevat minstens volgende elementen:
- De aard van het Datalek, waar mogelijk onder vermelding van de categorieën van Betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal Betrokkenen en persoonsgegevensregisters in kwestie;
- De naam en de contactgegevens van de DPO of een ander contactpunt waar meer informatie kan worden verkregen;
- De waarschijnlijke gevolgen van de inbreuk in verband met Persoonsgegevens;
- De maatregelen die de gemeente heeft voorgesteld of genomen om de Inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
Athumi, zal zonder onredelijke vertraging, en indien mogelijk uiterlijk 72 uur, na het vaststellen van een Inbreuk in Verband met Persoonsgegevens een melding doen bij de toezichthoudende autoriteit in overeenstemming met artikel 33 van de AVG. Athumi zal de gemeente onmiddellijk op de hoogte stellen van de melding aan de toezichthoudende autoriteit.
Alle Partijen zullen samenwerken met de toezichthoudende autoriteit in verband met eventuele verzoeken om informatie en assistentie in verband met deze melding.
Athumi meldt eveneens, indien nodig, het Datalek ook aan de Betrokkenen overeenkomstig artikel 34 van de AVG. De Partijen zullen samenwerken om de nodige informatie tijdig aan de Betrokkenen te verstrekken.
2.12 CONTACTEN MET TOEZICHTHOUDERS
De contacten met de toezichthoudende autoriteit verlopen in eerste instantie via de DPO van Athumi.
Betreft het een vraag of verzoek in het kader van de opvolging van een klacht die door de Betrokkene bij de toezichthoudende autoriteit is ingediend, wordt de vraag of het verzoek voor overleg overgemaakt aan de Partij tegen wie de klacht is ingediend.
Betreft het een vraag of een verzoek in het kader van het beheer van het VIP-platform, wordt de vraag of het verzoek behandeld door Xxxxxx. In voorkomend geval verschaft de gemeente op vraag van Xxxxxx alle informatie die ze nuttig of nodig acht om de vraag of het verzoek te behandelen.
2.13 Vertrouwelijkheid
De Partijen verbinden zich er uitdrukkelijk toe het vertrouwelijk karakter en de beveiliging van de Persoonsgegevens die zij in het kader van deze Overeenkomst verwerken, te waarborgen.
De Partijen waken erover dat alle Medewerker(s) of aangestelde(n) die toegang hebben tot de Persoonsgegevens, contractueel en/of statutair tot vertrouwelijkheid gebonden zijn.
De Partijen zien erop toe dat Xxxxxxxxxx(s) of aangestelde(n) enkel toegang verkrijgen tot Persoonsgegevens verwerkt in het Vastgoedinformatieplatform op basis van het noodzakelijkheidsbeginsel (“need-to-know”-principe).
De Partijen voorkomen dat door middel van functie- en rollenscheiding een combinatie van toegangsrechten zou kunnen leiden tot ongeautoriseerde handelingen of niet-toegelaten toegang tot Persoonsgegevens door Medewerker(s) of aangestelde(n).
De verplichting tot vertrouwelijkheid blijft gelden na beëindiging van de Overeenkomst.
2.14 TECHNISCHE EN ORGANISATORISCHE MAATREGELEN
Partijen nemen elk voor de Verwerking waarvoor zij verantwoordelijk zijn gepaste technische en organisatorische maatregelen in overeenstemming met artikel 32 van de AVG om de Persoonsgegevens en de Verwerking ervan te beveiligen tegen vernietiging, verlies, vervalsing, niet toegelaten verspreiding of toegang en elke andere vorm van onrechtmatige Verwerking.
Partijen komen overeen dat Athumi als operationeel beheerder verantwoordelijk is voor de uitvoering van de technische en organisatorische maatregelen op het VIP en de ondersteunende infrastructuur. De specifieke maatregelen die genomen moeten worden, zijn opgenomen in Bijlage 4 die aan deze Overeenkomst is toegevoegd.
Op éénvoudig verzoek van één van de Partijen, bezorgen de andere Partijen extra verduidelijking over de technische en organisatorische maatregelen aan de desbetreffende DPO.
De Partijen zullen minstens eenmaal per jaar de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de Verwerking, testen, beoordelen en evalueren. Indien nodig zullen de technische en organisatorische maatregelen worden geactualiseerd.
2.15 PLAATS VAN DE VERWERKING EN DOORGIFTE
Partijen komen overeen dat de Verwerkingen van de Persoonsgegevens enkel binnen de EER zal gebeuren. Xxxxxx neemt de taak op zich om daarover te waken jegens de (Sub)Verwerker(s).
2.16 Aansprakelijkheid
Partijen zijn elk aansprakelijk voor de schade die het gevolg is van inbreuken op de AVG door de Verwerking die zij uitvoeren in het kader van deze Overeenkomst.
De aansprakelijkheid van Partijen is beperkt zoals voorzien in de verwerkingsopdracht, zonder evenwel afbreuk te doen aan artikel 82 van de AVG.
3 BEPALINGEN GELDEND TUSSEN VERWERKINGSVERANTWOORDELIJKE EN VERWERKER
3.1 VOORWERP
Deze afdeling 3 geldt voor de Verwerkingsactiviteiten betreffende de facturatie en het innen van de gemeentelijke bronretributies waarbij de gemeente optreedt als Verwerkingsverantwoordelijke en Athumi als Verwerker.
In deze afdeling wordt verwezen naar de gemeente als ‘Verwerkingsverantwoordelijke’ en Athumi als ‘Verwerker’.
De beschrijving van de instructies van de Verwerkingsverantwoordelijke inzake de Verwerking door de Verwerker zijn opgenomen in Bijlage 2.
3.2 VERWERKINGSOPDRACHT
De Verwerker verwerkt de persoonsgegevens uitsluitend overeenkomstig de verwerkingsopdracht, de in deze Overeenkomst vastgelegde verplichtingen en de Toepasselijke Gegevensbeschermingswetgeving. De Verwerker verwerkt de Persoonsgegevens uitsluitend op basis van schriftelijke instructies van de Verwerkingsverantwoordelijk. De Verwerker beschouwt de verwerkingsopdracht als de volledige instructie van de Verwerkingsverantwoordelijke. De verwerkingsopdracht wordt nader omschreven in Bijlage 2 bij deze Overeenkomst.
3.2.1 Principe van self-billing
Partijen komen overeen dat de Verwerker maandelijks in naam en voor rekening van de Verwerkingsverantwoordelijke een afrekeningsstuk zal opmaken op basis waarvan de door Verwerker aan de Verwerkingsverantwoordelijke verschuldigde bronretributies worden uitbetaald binnen de 30 dagen nadat het afrekeningsstuk overeenkomstig huidig artikel geacht wordt finaal te zijn uitgereikt. Het aldus uitgereikte afrekeningsstuk wordt geacht aanvaard en finaal door de Verwerker te zijn uitgereikt indien de Verwerkingsverantwoordelijke deze niet betwist binnen een termijn van 15 dagen na het uitreiken van het afrekeningsstuk.
3.3 NALEVING WETGEVING
De Verwerkingsverantwoordelijke verbindt er zich toe de Toepasselijke Gegevensbeschermingswetgeving na te leven. Dit houdt onder meer in dat de Verwerkingsverantwoordelijke er steeds op zal toezien dat er een gepaste rechtsgrond voor de verwerking bestaat en dat deze, indien noodzakelijk, een gegevensbeschermingseffectbeoordeling opstelt.
Indien de Verwerker van oordeel is dat de verwerkingsopdracht niet of niet meer in overeenstemming is met de Toepasselijke Gegevensbeschermingswetgeving, licht ze de Verwerkingsverantwoordelijke daarover in en kan ze de Verwerking tijdelijk of permanent stopzetten. De Verwerkingsverantwoordelijke onderzoekt de melding van Verwerker. Indien dit onderzoek uitwijst dat de Verwerking toch nog steeds
conform de Toepasselijke Gegevensbeschermingswetgeving verloopt, kan de Verwerkingsverantwoordelijke de Verwerker opdragen om de Verwerking te hervatten. In het tegenovergestelde geval zal de Verwerkingsverantwoordelijke bevestigen dat de Verwerking opgeschort blijft tot wanneer de vereisten van Toepasselijke Gegevensbeschermingswetgeving zijn voldaan.
Indien de Verwerkingsverantwoordelijke van oordeel is dat de Verwerking niet of niet meer in overeenstemming is met de Toepasselijke Gegevensbeschermingswetgeving, licht ze Athumi daarover in en draagt ze hem onmiddellijk op om de Verwerking per direct al dan niet tijdelijk stop te zetten.
3.4 DOORGIFTE
De Verwerker zal de Persoonsgegevens die Verwerkt worden niet doorgeven aan enige derde partij anders dan noodzakelijk voor de uitvoering van de Verwerking, tenzij dit noodzakelijk is om te voldoen aan een wettelijke verplichting. In dat geval zal de Verwerker de Verwerkingsverantwoordelijke voorafgaandelijk aan de doorgifte in kennis stellen van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.
3.5 VERTROUWELIJKHEID PERSONEEL
De Verwerker verbindt zich er uitdrukkelijk toe het vertrouwelijk karakter en de veiligheid van de Persoonsgegevens die zij in het kader van de Overeenkomst Verwerkt, te waarborgen.
Alle Medewerkers van de Verwerker, zowel intern als extern, gemachtigd tot het uitvoeren van de Overeenkomst, zijn gehouden tot een wettelijke dan wel contractuele vertrouwelijkheidsverplichting.
De Verwerker verschaft zijn Medewerkers alleen toegang tot Persoonsgegevens op een "need-to-know" basis voor zover dat nodig is voor het uitvoeren van de Verwerking.
De verplichting tot vertrouwelijkheid blijft gelden na beëindiging van de Overeenkomst.
3.6 SUBVERWERKING
De Verwerker mag beroep doen op Subverwerkers om Persoonsgegevens in het kader van deze Overeenkomst te verwerken.
De Verwerkingsverantwoordelijke gaat akkoord met de lijst van Subverwerkers opgesomd in Bijlage 3. Binnen een termijn van 30 dagen voor het aannemen of vervangen van een andere Subverwerker dan de lijst van Bijlage 3 licht de Verwerker de Verwerkingsverantwoordelijke in over de toevoeging of verandering. De Verwerkingsverantwoordelijke kan vervolgens binnen die termijn van 30 dagen een bezwaar maken tegen het aannemen van de voorgestelde Subverwerker.
Extern ingehuurde Medewerkers worden voor deze Overeenkomst niet als Subverwerker beschouwd. De Verwerker zal erop toezien dat deze extern ingehuurde Medewerkers dezelfde vertrouwelijkheidsclausule, zoals beschreven in artikel 3.5 van deze Overeenkomst naleven zoals dit voor de eigen Medewerkers van Verwerker het geval is.
De Verwerker en de Subverwerker sluiten een overeenkomst waarin dezelfde verplichtingen inzake gegevensbescherming opgelegd worden als die welke in afdeling 3 van de voorliggende Overeenkomst
zijn opgenomen. De Verwerker zal de Subverwerkers ook dezelfde geheimhoudingsverplichting opleggen. De Verwerker zal op eenvoudig verzoek van de Verwerkingsverantwoordelijke het nodige bewijs voorleggen om aan te tonen dat de overeenkomsten met haar Subverwerkers voldoen aan de in dit artikel gestelde voorwaarden.
De Verwerker houdt een actueel overzicht bij van de overeenkomsten met Subverwerkers en kan deze binnen redelijke termijn op eenvoudig verzoek bezorgen aan de Verwerkingsverantwoordelijke.
Indien een Subverwerker haar gegevensbeschermingsverplichtingen niet vervult, zal de Verwerker volledig aansprakelijk blijven ten opzichte van de Verwerkingsverantwoordelijke voor de naleving van deze verplichtingen.
3.7 TECHNISCHE EN ORGANISATORISCHE MAATREGELEN
De Verwerker treft alle passende technische en organisatorische beveiligingsmaatregelen die nodig zijn om de Persoonsgegevens te beveiligen om aan de vereisten van de Toepasselijke Gegevensbeschermingswetgeving te voldoen en de bescherming van de rechten van de Betrokkene te waarborgen. Deze beveiligingsmaatregelen omvatten minstens, maar zijn niet beperkt tot de maatregelen zoals omschreven in artikel 32 van de AVG.
Bij vaststelling van deze maatregelen houdt de Verwerker rekening met de stand van de techniek en de kost voor beveiliging, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen. In het bijzonder zal de Verwerker de Persoonsgegevens beveiligen tegen vernietiging, verlies, vervalsing, niet toegelaten verspreiding of toegang en elke andere vorm van onwettige Verwerking.
Athumi wijst een functionaris voor gegevensbescherming aan en heeft tenminste een actueel informatieveiligheidsbeleid- en plan.
3.8 BIJSTAND
3.8.1 Algemeen
De Verwerker zal, rekening houdend met de aard van de Verwerking en de hem ter beschikking staande informatie, de Verwerkingsverantwoordelijke alle informatie verstrekken en alle bijstand verlenen die noodzakelijk is en/of die redelijkerwijze mag worden verwacht opdat de Verwerkingsverantwoordelijke in staat zou zijn om haar verplichtingen uit hoofde van de artikelen 32 tot en met 36 van de AVG na te komen én van deze nakoming het bewijs te leveren.
3.8.2 BIJSTAND BIJ VERZOEKEN VAN EEN BETROKKENE
De Verwerker verleent aan de Verwerkingsverantwoordelijke bijstand en medewerking bij het vervullen van diens plicht om verzoeken tot uitoefening van de in hoofdstuk III van de AVG vastgestelde rechten van de Betrokkene, te beantwoorden.
Indien een Betrokkene zich rechtstreeks tot de Verwerker wendt om zich te beroepen op één van de rechten die hem ingevolge hoofdstuk III van de AVG zijn toegekend, zal de Verwerker dit onverwijld melden aan de Verwerkingsverantwoordelijke en alleen tegemoetkomen aan het verzoek van de Betrokkene na schriftelijk akkoord van de Verwerkingsverantwoordelijke.
3.8.3 BIJSTAND BIJ EEN INBREUK IN VERBAND MET PERSOONSGEGEVENS
De Verwerker verbindt zich ertoe elk Datalek en alle ernstige pogingen tot onrechtmatige of ongeautoriseerde Verwerkingen of toegangen tot Persoonsgegevens zonder onredelijke vertraging, en uiterlijk 24 uur na kennisname, te melden aan de Verwerkingsverantwoordelijke conform artikel 33 van de AVG.
De Verwerker zal alle maatregelen treffen die redelijkerwijs nodig zijn om (verdere) schending van de beveiligingsmaatregelen en eventuele schade van een dergelijk Datalek te voorkomen of te beperken en zal aan de Verwerkingsverantwoordelijke alle informatie die ze nuttig of nodig acht, verschaffen.
De Verwerker zal alle maatregelen treffen die redelijkerwijs nodig zijn om de nadelige gevolgen van een dergelijk Datalek zoveel mogelijk te beperken en zal aan de Verwerkingsverantwoordelijke alle informatie die ze nuttig acht, verschaffen.
Rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie, verleent de Verwerker bijstand aan de Verwerkingsverantwoordelijke bij het nakomen van diens verplichtingen betreffende:
- Het melden van een Datalek aan de toezichthoudende autoriteit conform artikel 33 van de AVG;
- Het mededelen van een Datalek aan de Betrokkene conform artikel 34 van de AVG.
Het is de Verwerker evenwel niet toegestaan om het Datalek zelf te melden aan de bevoegde toezichthoudende autoriteit of de mededeling aan de Betrokkene zelf te verrichten. Dit is uitsluitend de bevoegdheid van de Verwerkingsverantwoordelijke.
3.8.4 ANDERE BIJSTANDSVERPLICHTINGEN
De Verwerker zal, rekening houdend met de aard van de Verwerking en de hem ter beschikking staande informatie, de Verwerkingsverantwoordelijke bijstand verlenen bij het nakomen van diens verplichtingen betreffende:
- Het beveiligen van de Verwerking conform artikel 32 van de AVG;
- Het uitvoeren van een gegevensbeschermingseffectbeoordeling conform artikel 35 van de AVG;
- Het voorafgaand aan een voorgenomen Verwerking raadplegen van de toezichthoudende autoriteit, wanneer dit na een gegevensbeschermingseffectbeoordeling nodig zou blijken, conform artikel 36 van de AVG.
3.9 CONTROLE
De Verwerkingsverantwoordelijke of zijn daartoe aangestelde heeft op elk ogenblik het recht om de naleving van deze Overeenkomst te controleren. Daartoe heeft zij het recht om zich ter plaatse te begeven in de lokalen of plaatsen waar de Verwerker de Verwerking uitvoert. De Verwerkingsverantwoordelijke zal de Verwerker minstens 15 dagen voorafgaand aan het uitvoeren van de controle schriftelijk inlichten. De Verwerkingsverantwoordelijke zal de controles, tenzij dwingend anders vereist, enkel op werkdagen tijdens kantooruren uitvoeren.
Op eenvoudig verzoek van de Verwerkingsverantwoordelijke is de Verwerker ertoe gehouden alle inlichtingen die van toepassing zijn bij de uitvoering van deze Overeenkomst mee te delen en bijstand
te verlenen bij het uitvoeren van de audits of bij het vervullen van de verplichting om verzoeken om uitoefening van de in de AVG vastgestelde rechten van de Betrokkene te beantwoorden.
In geval de Verwerkingsverantwoordelijke een derde aanstelt om de naleving van de Overeenkomst te controleren, heeft de Verwerker het recht om deze aangestelde te weren indien de Verwerker ervan overtuigd is dat de aangestelde de controle niet onafhankelijk kan uitvoeren of niet in het bezit is van de vereiste beroepskwalificaties. In onderling overleg met de Verwerkingsverantwoordelijke wordt er een oplossing voorzien om alsnog de audit te kunnen laten doorgaan.
3.10 Internationale doorgifte van de gegevens
De Verwerker is niet gerechtigd om Persoonsgegevens in een land buiten de EER te verwerken, tenzij de Verwerkingsverantwoordelijke aan de Verwerker expliciet schriftelijk toestemming verleent of om te voldoen aan een specifieke eis uit hoofde van een Unierechtelijke of lidstaatrechtelijke bepaling waaraan de Verwerker is onderworpen. In dat geval stelt de Verwerker de Verwerkingsverantwoordelijke, voorafgaand aan de Verwerking, in kennis van dat wettelijk voorschrift, tenzij de Unierechtelijke of lidstaatrechtelijke bepaling deze kennisgeving om gewichtige redenen van algemeen belang verbiedt. Met behoud van bovenstaande, ziet Xxxxxxxxx er tevens op toe dat geen van haar Subverwerkers Persoonsgegevens in een land buiten de EER Verwerkt.
Indien de Verwerker de Persoonsgegevens, na daartoe verkregen schriftelijke toestemming van de Verwerkingsverantwoordelijke, verwerkt in een land buiten de EER, en indien de Verwerking niet rechtmatig kan plaatsvinden conform de bepalingen opgenomen in het adequaatheidsbesluit van 10 juli 2023, gaan de Partijen hierbij aanvullend op deze Overeenkomst akkoord met de ongewijzigde versie van de door de Europese Commissie goedgekeurde “Standaardcontractbepalingen voor de doorgifte van persoonsgegevens aan verwerkers die gevestigd zijn in derde landen die geen passend beschermingsniveau waarborgen” en/of nemen de Partijen kennis van eventuele Bindende Bedrijfsvoorschriften die van toepassing zouden zijn op de internationale doorgifte van persoonsgegevens.
De Verwerkingsverantwoordelijke gaat bij aanvang van deze Overeenkomst akkoord met de eventuele gegevensdoorgifte die gepaard gaat met het gebruik van Subverwerkers of Verwerkers van Subverwerkers zoals opgenomen in Bijlage 3.
3.11 Aansprakelijkheid
De Verwerker is aansprakelijk ten aanzien van de Verwerkingsverantwoordelijke voor schade die voortvloeit uit een handeling of een nalatigheid wanneer bij de Verwerking niet is voldaan aan de specifiek tot Verwerkers gerichte verplichtingen van de Toepasselijke Gegevensbeschermingswetgeving dan wel uit een handeling of nalatigheid in strijd met de rechtmatige instructies van de Verwerkingsverantwoordelijke.
De aansprakelijkheid van de Verwerker is beperkt zoals voorzien in de verwerkingsopdracht, zonder evenwel afbreuk te doen aan art. 82 van de AVG.
3.12 BEËINDIGING VAN DE VERWERKINGSOPDRACHT
Indien de Verwerker zijn verplichtingen als Verwerker, opgelijst in afdeling 3 van voorliggende Overeenkomst, niet naleeft, kan de Verwerkingsverantwoordelijke, onverminderd het recht om een schadevergoeding te bekomen, na schriftelijke gemotiveerde ingebrekestelling de opdracht geheel of gedeeltelijk beëindigen indien de Verwerker nalaat passende maatregelen te treffen binnen een termijn van 6 maanden.
Na beëindiging van de verwerkingsopdracht dient de Verwerker aan de Verwerkingsverantwoordelijke, zonder onredelijke vertraging, en onverwijld op verzoek, een kopie te bezorgen van alle Persoonsgegevens die door haar in het kader van de opdracht als Verwerker Verwerkt worden, in gestructureerd, gangbaar en machine leesbaar formaat.
Als alle Persoonsgegevens zijn bezorgd, stelt de Verwerker onmiddellijk een einde aan elke Verwerking van de Persoonsgegevens. Bestaande kopieën worden veilig verwijderd, tenzij opslag van de Persoonsgegevens verplicht is op grond van de Toepasselijke Gegevensbeschermingswetgeving.
4 BEPALINGEN GEMEENSCHAPPELIJK AAN DE PARTIJEN
4.1 VOORWERP
Deze afdeling 4 bepaalt de bepalingen gemeenschappelijk aan de Partijen van deze Overeenkomst.
4.2 CONTACT
Elke Partij duidt een contactpunt aan voor de aangelegenheden met betrekking tot de Verwerking van Persoonsgegevens in het kader van deze Overeenkomst (hierna: de “SPOC”). Wanneer een SPOC gedurende de looptijd van deze Overeenkomst zou wijzigen, moet dit gemeld worden aan de Partijen, zonder dat evenwel aanpassing van deze Overeenkomst noodzakelijk is. De contactgegevens van de contactpunten worden opgenomen in Bijlage 1 van deze Overeenkomst.
4.3 Inwerkingtreding
De Overeenkomst treedt in werking na ondertekening door beide Partijen, na de inwerkingtreding van het gemeenteraadsbesluit en ten vroegste op de datum van inwerkingtreding van het VIP-decreet.
4.4 DUUR
De overeenkomst is van onbepaalde duur.
4.5 Toepasselijk recht en bevoegde rechtbank
In geval van betwisting is het Belgische recht van toepassing en zijn de hoven en rechtbanken van het gerechtelijk arrondissement Brussel, bevoegd.
4.6 DEELBAARHEID
Indien een bepaling van deze Overeenkomst geheel of gedeeltelijk ongeldig of niet-afdwingbaar wordt geacht, wordt deze (voor zover deze ongeldig of niet-afdwingbaar is) als scheidbaar beschouwd en wordt de geldigheid van de andere bepalingen van deze Overeenkomst niet aangetast.
De Partijen zullen vervolgens te goeder trouw onderhandelen om de ongeldige, onwettige of nietige bepaling te vervangen door een geldige bepaling die zoveel als mogelijk de gevolgen heeft van de ongeldige, onwettige of nietige bepaling.
4.7 ENIGE OVEREENKOMST EN WIJZIGINGEN
De Overeenkomst omvat de volledige afspraken tussen de Partijen met betrekking tot het onderwerp en de beoogde verplichtingen in deze Overeenkomst, en vervangt hierbij alle eerdere afspraken, voorstellen, onderhandelingen, overeenkomsten, toezeggingen en verklaringen, hetzij mondeling hetzij schriftelijk.
De bepalingen van onderhavige Overeenkomst kunnen uitsluitend bij een door vertegenwoordigingsbevoegde personen van beide Partijen ondertekend geschrift worden aangepast, gewijzigd, aangevuld of ingeperkt. De aanpassingen, wijzigingen, aanvullingen of inperkingen treden slechts in werking vanaf de datum van ondertekening ervan, tenzij wanneer anders uitdrukkelijk en schriftelijk wordt overeengekomen.
Deze Overeenkomst werd elektronisch opgesteld en ondertekend.
Voor Athumi
Getekend door:Xxxxx Xx Xxxxx (Signature)
Getekend op:2024-01-24 14:10:05 +01:0
Reden:Ik keur dit document goed
Voor Linter
Getekend door:Xxxx Xxxxxxxx (Signature Getekend op:2024-01-23 11:23:10 +01:0
Getekend door:Xxxx Xxxxxxx (Signature)
Getekend op:2024-01-22 15:14:25 +01:0
Reden:Ik keur dit document goed | Reden:Ik keur dit document goed | |||
Xxxxx Xx Xxxxx Transitiemanager Vlaams Datanutsbedrijf (Athumi) | Xxxx Xxxxxxxx Algemeen Directeur Gemeente Linter | Xxxx Xxxxxxxx Burgemeester Gemeente Linter | ||
Bijlagen:
- Bijlage 1: Instructie en toetreding gemeente
- Bijlage 2: Toelichting verwerkingsopdracht
- Bijlage 3: Onderverwerkers
- Bijlage 4: Technische en organisatorische maatregelen
BIJLAGE 1 INSTRUCTIE EN TOETREDING GEMEENTE
1. Identificatie van de gemeente
Gemeente Linter, ingeschreven in het KBO met nummer 02073668350, met zetel Xxxxx-Xxxxxxxxx 00, 0000 Xxxxxx vertegenwoordigd door het college van burgemeester en schepenen, voor wie tekenen: Xxxx Xxxxxxxx, Burgemeester en Xxxx Xxxxxxxx, Algemeen Directeur, in uitvoering van het gemeenteraadsbesluit/collegebesluit.
2. SPOC
Athumi | Gemeente | |
Contactpersoon Naam + functie Email | Xxxxx Xxxxxxxxxx | Xxxxx Xxxxxxx |
DPO |
Datum:
Handtekening Linter
BIJLAGE 2 BESCHRIJVING VAN DE INSTRUCTIES VAN DE VERWERKINGSVERANTWOORDELIJKE VAN DE VERWERKING DOOR DE VERWERKER
In het kader van de Overeenkomst voert de Athumi op de onderstaande Persoonsgegevens de Verwerkingen uit waarvan per gegevenssoort de aard van de Verwerking, alsmede het doel ervan en de categorieën van Betrokkenen, de classificatie (*optioneel) worden vermeld.
Zoals bepaald in het VIP-decreet zal Athumi de prijs van een product innen bij de ontvangende entiteiten (of “aanvragers”) van vastgoedinformatie. De prijs voor een “product vastgoedinlichtingen” bijvoorbeeld bestaat uit de platformretributie (ten voordele van Athumi) en de gemeentelijke bronretributie (ten voordele van de gemeente). Athumi zal bijgevolg de gemeentelijke bronretributies innen in naam en voor rekening van de gemeente bij de aanvragers. Maandelijks vereffent Athumi deze tegoeden met de gemeente.
Soort Persoonsgegevens | Aard van de Verwerking | Doel van de Verwerking | Categorie(ën) van Betrokkenen | Classificatie (*) |
Contact- en identificatiegegevens | Gebruik e-mailadres voor verstrekken informatie en doorsturen facturen m.o.o. de inning van de retributie | - Facilitering van de facturatie van de gemeenteretributie | - Aanvragers | / |
- Inning van de gemeenteretributie | ||||
Financiële gegevens | Overmaken facturen voor aanvraag vastgoedinformatie, inning en doorstorting van de gelden | - Facilitering van de facturatie van de gemeentelijke bronretributie | - Aanvragers | / |
- Inning van de gemeentelijke bronretributie | ||||
- Doorstorting van gemeentelijke bronretributies |
BIJLAGE 3 SUBVERWERKER(S)
Xxxxxx doet beroep op volgende subverwerker(s) voor de Verwerking van Persoonsgegevens zoals uiteengezet in deze Overeenkomst.
Wanneer bijkomende subverwerkers worden aangesteld of indien de samenwerking met een subverwerker wordt stopgezet, zal deze bijlage worden aangepast overeenkomstig 4.7 deze Overeenkomst.
Subverwerker | Beschrijving van de Verwerkingsactiviteiten door de Subverwerker | Categorieën van Persoonsgegevens | Vindt er een gegevensdoorgifte naar derde landen plaats? Indien ja, welke maatregelen zijn er genomen in het licht van hoofdstuk V AVG? | Heeft de Verwerker met de Subverwerker een overeenkomst gesloten op grond van art. 28 AVG?2 |
Naam : Digitaal Vlaanderen, Adres: Xxxxxxxxx 00/x, 0000 Xxxxxxx Data Protection Officer: privacy@digitaal.vlaanderen.b e; | - Gebruik van de infrastructuur en hosting componenten - Gebruik van Veiligheidsbouwstenen voor de toegangscontrole tot het Vastgoedinformatieplatform | - Contact- en identificatiegegevens - Identificatienummer van het Rijksregister/KBO-nummer - Vastgoedinformatie - Gegevens in het kader van stedenbouwkundige- en milieumisdrijven en - inbreuken - Financiële gegevens | ☒ Neen. ☐ Ja, in/naar de volgende landen: | ☒ Ja. ☐ Neen, want: |
Naam: Cronos Public Services NV Adres: Xxxxxxxx 00x, 0000 Xxxxxxx Data Protection Officer, incl. contactgegevens: xxx@xxxxxx.xx | Hosting (servers in een privaat datacenter beheerd door Cronos in België) van het Vastgoedinformatieplatform dat er onder meer voor zorgt dat gegevens uit centrale authentieke bronnen (open- data) automatisch worden opgehaald. Lokale besturen vullen de vastgoedinlichtingen verder aan met de eigen lokale vastgoedinformatie. Opslag van de vastgoedinlichtingen gebeurt eveneens op deze omgeving. | - Contact- en identificatiegegevens - Vastgoedinformatie - Gegevens in het kader van stedenbouwkundige- en milieumisdrijven en - inbreuken - Financiële gegevens - Identificatienummer van het Rijksregister/KBO-nummer. | ☒ Neen. ☐ Ja, in/naar de volgende landen: | ☒ Ja. ☐ Neen, want: |
Eviden Belgium NV Xx Xxxxxxxxx 0 0000 Xxxxxxxx | De Verwerker staat in voor het beheer van het clearing house platform die de verwerking op zich neemt van de clearing en settlement van alle financiële transacties gekoppeld aan producten van het VIP platform. Er worden geen vastgoedinlichtingen opgeslagen bij deze verwerker, alleen de financiële transacties | - Financiële gegevens - Identificatienummer van het Rijksregister/KBO-nummer. | ☒ Neen. ☐ Ja, in/naar de volgende landen: | ☒ Ja. ☐ Neen, want: |
CCV Belgium Ter Waarde 50 8900 Ieper | De Verwerker staat in voor een financiële ontzorging van de gemeente door de gemeentelijke retributies te innen voor naam en voor rekening voor de gemeente ingeval er betaalt wordt via een | - Contact- en identificatiegegevens - Identificatienummer van het Rijksregister/KBO-nummer - Financiële gegevens | ☒ Neen. ☐ Ja, in/naar de volgende landen: | ☒ Ja. ☐ Neen, want: |
payment service provider. Ingeval de aanvrager van vastgoedinformatie online (contant) betaalt via een payment serviceprovider worden er persoonsgegevens verwerkt voor deze finaliteit. |
BIJLAGE 4 TECHNISCHE EN ORGANISATORISCHE MAATREGELEN
1. Veiligheidskader
Athumi maakt gebruik van de informatieclassificatie van de Vlaamse overheid als kompas voor het implementeren van de nodige technische en organisatorische maatregelen om het beveiligingsniveau van de verwerking te waarborgen.
De classificatie die van toepassing is, is de op één na hoogste classificatie die uit de inventaris van alle geïdentificeerde Persoonsgegevens kan afgeleid worden. Het is die classificatie die de informatieclassificatie van het volledige platform bepaalt. De gegevens die via het Vastgoedinformatieplatform verwerkt worden, zijn na analyse volgens dit model ingedeeld in informatieklasse 4.
Om de beschikbaarheid, integriteit en vertrouwelijkheid van de Persoonsgegevens tijdens de verwerking te garanderen worden, op basis van deze indeling, de hierna beschreven technische en organisatorische veiligheidsmaatregelen genomen.
Meer informatie omtrent deze minimale maatregelen is beschikbaar op vraag van de gemeente.
2. Organisatorische veiligheidsmaatregelen
De Partijen treffen in ieder geval ten minste volgende organisatorische en technische beveiligingsmaatregelen:
- Een informatieveiligheidsbeleid hebben;
- Een DPO aangewezen hebben;
- Een informatieveiligheidscel aangesteld te hebben;
- Een procedure m.b.t. de behandeling van Datalekken te hebben;
- De medewerkers van de Partij, incl. ingehuurd of tijdelijk personeel en eventuele derde partijen die rechtstreeks of onrechtstreeks betrokken zijn bij de uitvoering van de opdracht zijn
▪ Gehouden zijn tot een confidentialiteitsplicht, die wettelijk en/of contractueel is opgelegd;
▪ Ingelicht zijn omtrent de regels van de AVG;
▪ De informatieveiligheidsinstructies hebben die ze moeten respecteren;
- Het (lokale) netwerk van de organisatie beveiligd is opgezet, o.m. door een actieve firewall;
- De e-mailtoepassing wordt beveiligd, minstens door een virusscanner
De gemeente is verantwoordelijk voor het uitvoeren van gepaste maatregelen op de toestellen onder hun beheer. De aangestelde administrators verstrekken lokale Medewerkers de benodigde rechten en toegang, waarbij zij het principe van minimale toegang toepassen. Alleen Medewerkers die toegang nodig hebben tot het loket om hun taken uit te voeren, krijgen deze rechten toegewezen.
(a) Op niveau van Athumi
- Er is een functionaris voor gegevensbescherming aangesteld. De functionaris voor gegevensbescherming controleert of de Verwerkingen gebeuren in overeenstemming met de bepalingen van de Toepasselijke Gegevensbeschermingswetgeving en met de verwerkersopdracht.
- Athumi beschikt over een informatieveiligheidsbeleid en –plan.
- Conform de AVG:
o Wordt een geheimhoudingsverklaring ondertekend door alle relevante interne en externe Medewerkers, inclusief Subverwerkers;
o Is er een incidentenbeheerprocedure opgesteld en naar alle relevante Medewerkers gecommuniceerd;
o Zijn er procedures opgesteld en gecommuniceerd naar alle relevante Medewerkers met betrekking tot volgende aspecten:
▪ Recht van inzage,
▪ Recht op rectificatie,
▪ Recht op gegevenswissing,
▪ Recht op beperking van de verwerking,
▪ Recht op overdraagbaarheid van de persoonsgegevens,
▪ Recht van bezwaar;
- Maatregelen zijn getroffen voor de fysieke beveiliging van de omgeving.
- Is een register van verwerkingsactiviteiten opgesteld zoals bedoeld in art 30 AVG.
(b) Op niveau Vastgoedinformatieplatform
- Conform de AVG:
o Beschikt de privacylogging over een auditfunctionaliteit die toegankelijk is voor de functionaris voor gegevensbescherming van Athumi.
o Processen zijn geïmplementeerd met betrekking tot het toegangsbeheer, het loggingsbeheer, het security event management.
o Is er een register van verwerkingsactiviteiten opgesteld;
o Beschikt de privacylogging over een auditfunctionaliteit die toegankelijk is voor de functionaris voor gegevensbescherming van de gemeente.
o Processen zijn uitgeschreven en geïmplementeerd met betrekking tot het toegangsbeheer, het loggingsbeheer, het security event management.
- In lijn met de Overeenkomst zijn verplichtingen inzake de Verwerking van Persoonsgegevens contractueel vastgelegd met de respectieve Subverwerkers.
- Het Vastgoedinformatieplatform is uitvoering gedocumenteerd voor interne doeleinden op Confluence, Azure Devops en SharePoint.
3. Technische veiligheidsmaatregelen
- De componenten worden gehost in een privaat datacenter onder beheer van Cronos public services. De vereiste om het operationele beheer te laten voldoen aan de informatieveiligheidsvereisten van Athumi werden contractueel vastgelegd
- Geen anonieme toegang tot vastgoedplatform componenten.
- Least privilege principe bij het toekennen van functioneel noodzakelijke toegangen wordt gehanteerd op basis van persoonlijke credentials.
i. Het Least privileged principe wordt bewaakt door een aangestelde toegangsbeheerder.
a) Systeembeheerder
Het toegangsbeheer voor infrastructuur componenten maakt gebruik van het Role Based Access (RBAC) principe. Toegangen (lezen, schrijven, wijzigen, verwijderen) worden per rol bepaald en iedere rol houdt rekening met de minimale autorisaties noodzakelijk voor de uitvoering van de taak
b) Applicatie
- De applicatie heeft dedicated credentials nodig om toegang te vragen tot externe bronnen. Deze credentials worden met de nodige veiligheidsmaatregelen beheerd (secretsmanagment) en de toegang tot deze credentials is op basis van least privilege principe.
ii. Encryptie ter afscherming van de Persoonsgegevens
- Communicatie tussen Partijen verloopt steeds over een beveiligde en versleutelde verbinding (HTTPS).
- De toegangsbeveiliging voor externe applicaties is ingeregeld via de Autorisatie server van het Vlaams Datanutsbedrijf en de controles via een Policy Enforcement Point van het API- beheerplatform APIGEE onder het beheer van onderverwerker Cronos public services.
- Communicatie tussen het Policy Enforcement Point (PEP) en het Vastgoedinformatieplatform verloopt steeds via een beveiligde site-to-site VPN-tunnel (IPSEC).
- Alle data, documenten en metadata, inclusief hun backup’s die door het Vastgoedinformatieplatform worden behandeld zijn altijd in een versleutelde opslag bewaard.
iii. Logging
- Diverse aspecten van het Vastgoedinformatieplatform worden gelogd om verschillende redenen:
o Technische logging van de beschikbaarheid en performantie van de onderliggende infrastructuur met het oog op bedrijfszekerheid;
o Traffic logging van alle transacties die via het Vastgoedinformatieplatform verlopen met het oog op probleem- en incidentanalyse;
o Privacylogging voor auditing doeleinden van alle transacties die via het Vastgoedinformatieplatform verlopen in lijn met de wettelijke bepalingen en best practices (wie heeft welk gegeven op welk tijdstip geraadpleegd over wie en met welke finaliteit). Deze privacy logging wordt apart van de andere logs beheerd in een afgeschermd auditregister.
iv. Veiligheidscontroles
- Geautomatiseerde testen
o Continue code vulnerability testen zijn ingeregeld via code build & release pipelines.
O Security testing zal op regelmatige basis worden ingepland