Bijlage: Verwerkingsovereenkomst voor de verwerking van persoonsgegevens

Bijlage: Verwerkingsovereenkomst voor de verwerking van persoonsgegevens

Deze overeenkomst voor de verwerking van persoonsgegevens (de “Verwerkingsovereenkomst”) regelt de verwerking van persoonsgegevens door DeeCide) wanneer zij optreedt als verwerker voor rekening van de Tussenpersoon. De Verwerkingsovereenkomst wordt in bijlage gevoegd bij de Algemene Dienstverlenings- en Gebruiksvoorwaarden van DeeCide die ter goedkeuring worden voorgelegd aan de Tussenpersoon bij de inschrijving van de Tussenpersoon op SaaS Insurgate (de “Algemene Voorwaarden”). De Verwerkingsovereenkomst wordt geacht deel uit te maken van de Algemene Voorwaarden. In geval van tegenstrijdigheid tussen de Algemene Voorwaarden en de Verwerkingsovereenkomst, prevaleert de laatste.

De Tussenpersoon en DeeCide aanvaarden dat elk geschil of elke verantwoordelijkheid voortvloeiend uit deze overeenkomst is onderworpen aan de beperkingen en uitsluitingen van aansprakelijkheid voorzien in de Algemene Voorwaarden.

1. DEFINITIES

Behoudens uitdrukkelijke afwijking in de Verwerkingsovereenkomst hebben de termen met een hoofdletter die worden gedefinieerd in de Algemene Voorwaarden, dezelfde betekenis in de Verwerkingsovereenkomst.

De volgende definities zijn van toepassing op de Verwerkingsovereenkomst en vullen de definities van de Algemene Voorwaarden aan.

Onder “Subverwerker” wordt verstaan, elke derde op wie XxxXxxx beroep doet voor de levering van diensten en waarvoor deze derde persoonsgegevens zal verwerken.

Onder “ Gegevensbeschermingswetgeving” wordt verstaan, alle binnen de Europese Unie en België geldende wetten en verordeningen op het gebied van persoonsgegevens, waaronder met name Verordening 2016/679 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (de “AGV”), de wet van 3 juli 2017 tot oprichting van de Gegevensbeschermingsautoriteit en de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens.

De termen gedefinieerd in de Gegevensbeschermingswetgeving hebben dezelfde betekenis als in de Verwerkingsovereenkomst.

2. VERPLICHTINGEN VAN XXXXXXX MET BETREKKING TOT DE BESCHERMING VAN PERSOONSGEGEVENS

1.1 DeeCide verwerkt de persoonsgegevens van de Leden uitsluitend:

1.1.1 hetzij om instructies uit voeren gegeven door de Tussenpersoon in het kader van zijn contractuele relatie met haar, voortvloeiend uit de Algemene Voorwaarden, met inachtneming van de bepalingen van de Verwerkingsovereenkomst en bijlage 1;

1.1.2 hetzij wanneer zij hiertoe verplicht is door de Gegevensbeschermingswetgeving, in

welk geval DeeCide de Tussenpersoon informeert vóór de verwerking, tenzij de wet haar verbiedt om dergelijke informatie mede te delen omwille van belangrijke redenen van algemeen belang;

1.1.3 hetzij om de gelicentieerde Maatschappijen toe te staan de verzoeken van de tussenpersoon te verwerken in overeenstemming met de contractuele relaties tussen hen.

DeeCide is geen partij bij deze contractuele relaties, de gelicentieerde Maatschappij neemt de volledige verantwoordelijkheid voor de verwerking en de toereikendheid ervan binnen het contractuele kader dat is vastgelegd met de tussenpersoon.

1.1.4 hetzij om het DeeCide mogelijk te maken commerciële mededelingen te richten aan de Tussenpersoon die optimaal aansluiten bij het gebruik dat de Tussenpersonen maken van hun Persoonlijke Ruimte.

1.1.5 hetzij om haar partners, na een opt-in van de tussenpersoon, mogelijk te maken commerciële mededelingen te richten aan de Tussenpersoon die optimaal aansluiten bij het gebruik dat de Tussenpersonen maken van hun Persoonlijke Ruimte.

Een dergelijke verwerking door DeeCide wordt beperkt tot het strikt noodzakelijke, hetzij om zo goed mogelijk te voldoen aan haar verplichtingen voortvloeiend uit de Algemene Voorwaarden, hetzij om te voldoen aan de verplichtingen die de Gegevensbeschermingswetgeving oplegt aan DeeCide, hetzij met het oog op de gerechtvaardigde belangen van DeeCide, met name haar belang in de ontwikkeling van SaaS Insurgate en zijn activiteiten, met inachtneming van de belangen van de Gebruikers

2.1 Behoudens andersluidende wettelijke bepalingen, brengt XxxXxxx de Tussenpersoon onmiddellijk op de hoogte wanneer zij een instructie ontvangt van de Tussenpersoon die zij in strijd acht met de Gegevensbeschermingswetgeving.

2.2 DeeCide verbindt zich ertoe alle nodige technische en organisatorische maatregelen te nemen om te zorgen dat enkel de personen van wie de interventie strikt noodzakelijk is voor de uitvoering van haar contractuele verplichtingen ten aanzien van de Tussenpersoon, toegang hebben tot de persoonsgegevens. DeeCide verbindt zich er tevens toe alle nodige technische en organisatorische maatregelen te nemen om te zorgen dat de Verwerkingsovereenkomst wordt nagekomen door de werknemers en andere mensen voor wie zij instaat. DeeCide verbindt zich ertoe dat de werknemers en andere personen voor wie zij instaat:

2.2.1 geïnformeerd worden over de vertrouwelijke aard van de persoonsgegevens die zij moeten verwerken; en

2.2.2 gebonden zijn aan passende vertrouwelijkheidsverbintenissen, hetzij krachtens de wet, hetzij krachtens contractuele verbindingen.

2.3 DeeCide stelt de Tussenpersoon onverwijld in kennis van elke inbreuk in verband met persoonsgegevens, uiterlijk binnen de 24 uur na kennisneming van deze inbreuk. DeeCide levert vervolgens zo snel mogelijk alle details met betrekking tot deze inbreuk, zodat de Tussenpersoon kan beoordelen of er een melding nodig is aan de toezichthoudende autoriteit en/of een mededeling aan de personen betrokken bij de inbreuk. DeeCide biedt de Tussenpersoon bijstand, rekening houdend met de aard van de verwerking en de gegevens waarover DeeCide beschikt, om hem indien nodig te helpen zijn wettelijke verplichtingen na te

komen. De kosten verbonden aan de onderzoeks-, correctie- en remediëringsmaatregelen voor een inbreuk in verband met persoonsgegevens zijn ten laste van DeeCide.

2.4 DeeCide werkt samen, op verzoek van de Tussenpersoon of op eigen initiatief, voor zover redelijk en nodig, om de Tussenpersoon in staat te stellen gevolg te geven aan de verzoeken van personen betrokken bij de verwerking van persoonsgegevens en voldoet aan elke evaluatie, verzoek, advies of onderzoek bedoeld door de Gegevensbeschermingswetgeving, met inbegrip van een reguleringsinstantie, op voorwaarde van een redelijke kennisgeving en onverminderd het recht van DeeCide om de redelijke kosten voor een dergelijke bijstand te factureren aan de Tussenpersoon, tegen het uurtarief bepaald in artikel 2.10 van de Verwerkingsovereenkomst, tenzij de audit of de inspectie aantoont dat DeeCide haar verplichtingen voorzien in de Verwerkingsovereenkomst en de verplichtingen die de Gegevensbeschermingswetgeving haar oplegt niet nakomt. Indien een persoon wiens persoonsgegevens worden verwerkt door XxxXxxx, voor rekening van de Xxxxxxxxxxxxx, een verzoek richt aan XxxXxxx voor de uitoefening van zijn rechten, maakt XxxXxxx dit verzoek binnen de 24 uur over aan de Tussenpersoon.

2.5 Op verzoek levert DeeCide aan de Tussenpersoon alle nodige informatie om aan te tonen dat zij voldoet aan haar verplichtingen krachtens de Verwerkingsovereenkomst en de Gegevensbeschermingswetgeving. Zij staat de Tussenpersoon toe audits of inspecties uit te (laten) voeren, en verleent alle samenwerking voor dergelijke audits of inspecties, onverminderd het recht van DeeCide om redelijke kosten te factureren aan de Tussenpersoon voor een dergelijke bijstand, tegen het uurtarief bepaald in artikel 2.10 van de Verwerkingsovereenkomst, tenzij de audit of de inspectie aantoont dat DeeCide haar verplichtingen voorzien in de Verwerkingsovereenkomst en de verplichtingen die de Gegevensbeschermingswetgeving haar oplegt niet nakomt. In dit laatste geval zijn de kosten die DeeCide maakt in het kader van de audit of de inspectie en, bijgevolg, om weer aan haar verplichtingen te voldoen, volledig voor haar rekening.

2.6 Rekening houdend met de stand van de kennis, de uitvoeringskosten maar ook met de aard, de reikwijdte, de context en de doeleinden van de verwerking, evenals de waarschijnlijkheid en de ernst van het risico voor de rechten en vrijheden van de betrokken personen, ziet XxxXxxx erop toe dat haar werknemers en alle andere personen voor wie zij instaat de gepaste technische en organisatorische maatregelen toepassen, dit om een beveiligingsniveau te garanderen dat is afgestemd op het risico, waarbij in het bijzonder rekening wordt gehouden met het risico van vernietiging, verlies, onopzettelijke of onrechtmatige wijziging van de persoonsgegevens of het risico van verspreiding of ongeoorloofde toegang tot deze gegevens. XxxXxxx verklaart zich bewust te zijn van het bijzonder gevoelige karakter van de taken die haar worden toevertrouwd, gezien de bedrijfssector van de Tussenpersoon, en verbindt zich ertoe een gepast beveiligingsniveau te voorzien.

2.7 DeeCide ontvangt periodiek de technische en organisatorische maatregelen die zijn genomen om de beveiliging van de persoonsgegevens te verzekeren en ziet erop toe dat zij afgestemd blijven op het risico, rekening houdend met evolutie van het risico en de technische ontwikkelingen, en gaat indien nodig over tot een aanpassing van het beveiligingsniveau.

2.8 DeeCide moet redelijke bijstand bieden aan de Tussenpersoon om hem in staat te stellen te voldoen aan de verplichtingen die op hem rusten krachtens de artikelen 32 tot 36 van de AVG, waaronder met name de uitvoering van impactanalyses met betrekking tot de bescherming van de gegevens en voorafgaande raadplegingen van de bevoegde toezichthoudende autoriteiten ingeval de Tussenpersoon dit redelijk acht met het oog op artikelen 35 of 36 van de AVG, in

zoverre dit uitsluitend de verwerking van persoonsgegevens betreft door DeeCide en rekening houdend met de aard van de verwerking en de informatie waarover DeeCide beschikt.

2.9 In geval van een wijziging van de Gegevensbeschermingswetgeving of rechtspraak die alle of een deel van de diensten onwettig maakt, kan DeeCide de uitvoering van de contractuele relatie met de Tussenpersoon opschorten tot de partijen tot een akkoord komen om de diensten dusdanig aan te passen dat zij niet meer onwettig zijn.

2.10 Het uurtarief voor de prestaties uitgevoerd door XxxXxxx, in het kader van de artikelen 2.4 en

2.5 van de Verwerkingsovereenkomst bedraagt € 125, tegen voorlegging van een factuur met een gedetailleerde listing van de uitgevoerde prestaties.

2.11 DeeCide verklaart geen functionaris voor gegevensbescherming te hebben aangesteld op basis van de analyse en aanbevelingen van de G29.

2.12 DeeCide informeert de Tussenpersoon onmiddellijk in geval van een aanstelling van een functionaris voor gegevensbescherming.

2.13 DeeCide verklaart dat zij op de dag van het afsluiten van de Verwerkingsovereenkomst geen persoonsgegevens doorgeeft naar landen buiten de Europese Unie. Indien DeeCide in de toekomst zou besluiten tot een dergelijke doorgifte van persoonsgegevens naar landen buiten de Europese Unie, stelt zij de Tussenpersoon hiervan in kennis en ziet zij erop toe dat deze doorgifte plaatsvindt onder strikte inachtneming van de Gegevensbeschermingswetgeving.

2.14 DeeCide verbindt zich ertoe haar contractuele verplichtingen uit te voeren conform de Algemene Voorwaarden aangevuld door de Verwerkingsovereenkomst, met inachtneming van alle verplichtingen die de Gegevensbeschermingswetgeving haar oplegt, waaronder het bijhouden van een register voor de verwerkingsactiviteiten.

2.15 Bij de beëindiging van de contractuele relatie met de Xxxxxxxxxxxxx, zal XxxXxxx, naar keuze van de Xxxxxxxxxxxxx, de persoonsgegevens die zij heeft verwerkt in het kader van deze contractuele relatie, alsmede eventuele kopieën ervan, hetzij terugsturen naar de Tussenpersoon, hetzij wissen, tenzij het EU-recht of het Belgisch recht de bewaring eist van de persoonsgegevens door DeeCide. Behoudens andersluidende instructie van xx Xxxxxxxxxxxxx, onthoudt XxxXxxx zich van elke andere verwerking van persoonsgegevens na de beëindiging van de contractuele relatie met de Xxxxxxxxxxxxx.

3. VERBINTENIS VAN SUBVERWERKERS

3.1 DeeCide kan beroep doen op Subverwerkers op voorwaarde van inachtneming van de volgende voorwaarden:

3.1.1 De Tussenpersoon moet schriftelijk in kennis worden gesteld over de identiteit van elke Subverwerker waarop XxxXxxx beroep wenst te doen. Deze informatie moet minstens 30 dagen voordat deze subverwerking ingaat worden doorgegeven aan de Tussenpersoon. Gedurende deze termijn kan de Tussenpersoon bezwaar aantekenen betreffende deze Subverwerker. Een dergelijk bezwaar moet gemotiveerd worden en gebaseerd zijn op redelijke en relevante motieven.

3.1.2 DeeCide levert de Tussenpersoon, op zijn eerste verzoek, een actuele lijst van Subverwerkers waarop XxxXxxx beroep doet.

3.1.3 De overeenkomsten afgesloten tussen DeeCide en haar Subverwerkers moeten de Subverwerkers dezelfde verplichtingen opleggen als die opgelegd aan DeeCide in de Verwerkingsovereenkomst.

3.1.4 DeeCide stelt de Tussenpersoon onmiddellijk in kennis van elke handeling of verzuim van een Subverwerker die zou kunnen leiden tot een schending van de Verwerkingsovereenkomst door DeeCide of een inbreuk op de Gegevensbeschermingswetgeving door DeeCide of de Tussenpersoon. Deze informatie wordt naar de Tussenpersoon gestuurd binnen een termijn van 24 uur na de kennisneming van de betreffende handeling of verzuim.

3.1.5 DeeCide blijft als enige verantwoordelijk ten aanzien van de Tussenpersoon voor elke niet-nakoming van haar verplichtingen in het kader van haar contractuele relatie met de Tussenpersoon, zelfs indien deze niet-nakoming wordt veroorzaakt door een handeling of een verzuim van een Subverwerker.

4.1 XxxXxxx verklaart op datum van de goedkeuring van de Algemene Voorwaarden te werken met de volgende verwerkers die geacht worden te zijn aanvaard door de Tussenpersoon:

Entity Name	Purpose	Corporate Location
Heroku	Cloud Hosting	USA, DATA Center EU

4. VARIA

4.1 Indien een bepaling van de Verwerkingsovereenkomst om welke reden dan ook onwettig, ongeldig, of ontoepasbaar wordt:

4.1.1 heeft dit geen invloed op de wettigheid, geldigheid of toepasbaarheid van de andere bepalingen van de Verwerkingsovereenkomst of de Algemene Voorwaarden.

4.1.2 DeeCide en de Tussenpersoon trachten, in de mate van het mogelijke en in goed vertrouwen, de onwettige, ongeldige of niet-toepasbare bepaling te vervangen door een bepaling die de onwettige, ongeldige of niet-toepasbare bepaling zo dicht mogelijk benadert qua vorm en inhoud.

4.2 Indien een onwettige, ongeldige of niet-toepasbare bepaling wettig, geldig of toepasbaar wordt geacht als een deel ervan wordt geschrapt, is deze bepaling van kracht met de minimale aanpassingen die nodig zijn om deze bepaling wettig, geldig of toepasbaar te maken.

BIJLAGE 1: DETAILS VAN DE VERWERKING VAN PERSOONSGEGEVENS

Deze bijlage 1 bevat alle informatie betreffende de verwerkingsactiviteiten naast de reeds geleverde informatie in de Algemene Voorwaarden.

1. Doeleinden van de verwerking van persoonsgegevens

- toelevering van de Diensten aan de Tussenpersoon om hem in staat te stellen de SaaS Insurgate correct te gebruiken.

- DeeCide in staat stellen de ervaring van de Gebruiker van Saas Insurgate te personaliseren en te verbeteren

- de commerciële activiteiten van XxxXxxx en haar partners te bevorderen

- Informaticabeheer, waaronder:

o hosting;

o onderhoud;

o beheer van de IT-infrastructuur

- opleiding van de werknemers;

- ontwikkeling van software.

- klantenondersteuning

2. Te verwerken soorten persoonsgegevens

Alle gegevens die worden doorgegeven door de Tussenpersoon aan XxxXxxx in het kader van zijn contractuele relatie. Deze gegevens omvatten met name:

- Identificatiegegevens;

- Gegevens betreffende de tegoeden van zijn klanten;

- Zijn contracten met de klanten;

- Gegevens betreffende betalingen;

- Gegevens betreffende investeringen of kredieten;

- Beveiligingsgegevens

- Financiële informatie (nummer van bankrekening of kredietkaart)

- Persoonlijke kenmerken (leeftijd, geboortedatum, geslacht, geboorteplaats, …)

- Gezinssamenstelling

-

- gegevens in verband met het gebruik van SaaS Open Broker (IP-adres)

3. Categorieën van personen betrokken bij de te verwerken persoonsgegevens

- Medewerkers (huidige of vroegere)

- klanten

4. Instructies

De Tussenpersoon geeft XxxXxxx hierbij de instructies om alle nodige maatregelen te nemen voor de uitvoering van de verplichtingen die voortvloeien uit de contractuele relatie met de Tussenpersoon.