Ga naar de inhoud
Home » Overeenkomst betreffende de verwerking van persoonsgegevens

Overeenkomst betreffende de verwerking van persoonsgegevens

pdf download icon

Downloaden als pdf

Download de laatste versie (v1.01) van onze “GDPR-gegevensverwerkingsovereenkomst” als pdf.

Algemeen

Deze gegevensverwerkingsovereenkomst maakt integraal deel uit van de  Overeenkomst tussen u (wederpartij) en Televic Education.

Televic Education is de verwerker (hierna: ‘Verwerker’) van de persoonsgegevens en wederpartij is verwerkingsverantwoordelijk (hierna: ‘Verwerkingsverantwoordelijke’) voor de persoonsgegevens.

Overwegende

  1. Dat de Verwerkingsverantwoordelijke persoonsgegevens verzamelt en beheert om ze te verwerken en te gebruiken voor de volgende doeleinden: het afnemen van testen en het evalueren van personen of het onderwijzen en trainen van studenten of personeelsleden;
  2. Dat de toepasselijke wetgeving tot Bescherming van de Persoonlijke Levenssfeer (bv. de Algemene Verordening Gegevensbescherming en de nationale wetten betreffende de bescherming van de persoonlijke levenssfeer) van de Verwerkingsverantwoordelijke eist dat hij een gegevensverwerkingsovereenkomst met de Verwerker sluit;
  3. Dat de Verwerkingsverantwoordelijke deze persoonsgegevens wenst te verwerken krachtens de hieronder vermelde voorwaarden en bepalingen en deze taak toevertrouwt aan de Verwerker;
  4. Dat de Verwerker Persoonsgegevens (zoals hieronder nader gedefinieerd) zal verwerken in naam en voor rekening van de Verwerkingsverantwoordelijke;
  5. Dat de Verwerker heeft verklaard en op geloofwaardige wijze heeft aangetoond dat hij over de nodige bekwaamheid en capaciteit beschikt om deze gegevensverwerking naar behoren uit te voeren, dat hij aan alle wettelijke eisen voldoet voor deze verwerking en dat hij de verwerking kan uitvoeren rekening houdend met alle wettelijke voorschriften;
  6. Dat de Partijen deze Gegevensverwerkingsovereenkomst uitgevoerd hebben of zullen uitvoeren (zoals hieronder nader bepaald);

Wordt het volgende overeengekomen

Artikels

Artikel 1 – Definities

Gegevensverwerkingsovereenkomst verwijst naar voorliggende gegevensverwerkings-overeenkomst met inbegrip van haar bijlagen;
Overeenkomstverwijst naar de overeenkomst tussen de Verwerkingsverantwoordelijke en de Verwerker
Biometrische Gegevensdoelt op Persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan een eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens;
Gegevens Over Gezondheidzijn Persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon, waaronder gegevens over verleende gezondheidsdiensten, waarmee informatie over zijn of haar gezondheidstoestand wordt gegeven, met inbegrip van een patiëntnummer, medische diensten, bloedwaarden, enz.;
Betrokkene(n)betekent de identificeerbare of geïdentificeerde natuurlijke perso(o)n(en) van wie Persoonsgegevens worden verwerkt;
WECbetekent de Wet van 13 juni 2005 betreffende de Elektronische Communicatie;
Algemene Verordening Gegevensbescherming of AVGverwijst naar Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG;
Genetische Gegevenszijn Persoonsgegevens die verband houden met de overgeërfde of verworven genetische kenmerken van een natuurlijke persoon die unieke informatie verschaffen over de fysiologie of de gezondheid van die natuurlijke persoon en die met name voortkomen uit een analyse van een biologisch monster van die natuurlijke persoon;
Justitiële Gegevenszijn Persoonsgegevens in verband met gerechtelijke veroordelingen, beschuldigingen en vervolgingen in verband met strafrechtelijke misdrijven, hangende procedures bij administratieve instanties of rechtbanken, administratieve sancties en veiligheidsmaatregelen;
Inbreuk in verband met Persoonsgegevens (datalek) betekent een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens leidt;
Gevoelige Gegevens zijn Persoonsgegevens waaruit de raciale of etnische oorsprong, de politieke meningen, de religieuze of filosofische overtuigingen of het lidmaatschap van een vakbond blijken, alsook gegevens in verband met iemands seksuele gedrag of seksuele geaardheid;
Bijzondere categorieën van Persoonsgegevens doelt op een of meerdere van de volgende categorieën van Persoonsgegevens: Gegevens Over Gezondheid, Gevoelige Gegevens (met inbegrip van gegevens waaruit de raciale of etnische oorsprong, de politieke meningen, de religieuze of filosofische overtuigingen of het lidmaatschap van een vakbond blijken, gegevens in verband met het seksleven of de seksuele geaardheid van een natuurlijke persoon), Genetische Gegevens, Biometrische Gegevens of Justitiële Gegevens.

Artikel 2 – Voorwerp

2.1 De Verwerker zal de Persoonsgegevens uitsluitend en altijd in naam en voor rekening van de Verwerkingsverantwoordelijke verwerken. De Verwerker mag de Persoonsgegevens in geen enkele vorm (zelfs niet in de vorm van anonieme of geanonimiseerde Persoonsgegevens) en op geen enkele manier voor eigen rekening, noch voor rekening van derden verwerken. De Verwerker heeft geen controle over het doeleinde van de verwerking van Persoonsgegevens, noch mag hij onafhankelijk beslissingen nemen over het gebruik, de opslag of de doorgifte van de Persoonsgegevens, tenzij en voor zover uitdrukkelijk overeengekomen in de Gegevensverwerkingsovereenkomst of op instructie van de Verwerkingsverantwoordelijke of wanneer de Verwerker er te goeder trouw van uitgaat dat de doorgifte redelijkerwijs nodig is om in overeenstemming te zijn met de wet, voorschrift of juridisch verzoek waaraan hij absoluut gevolg dient te geven.

De Verwerker brengt de Verwerkingsverantwoordelijke er onverwijld van op de hoogte, indien hij niet kan voldoen aan de instructies van de Verwerkingsverantwoordelijke of de verplichtingen krachtens deze Gegevensverwerkingsovereenkomst, en kent het recht toe aan de Verwerkingsverantwoordelijke om de onthulling en doorgifte van Persoonsgegevens op te schorten en/of deze Gegevensverwerkingsovereenkomstte beëindigen in overeenstemming met Artikel 10.3 van de huidige Gegevensverwerkingsovereenkomst.

2.2 De Verwerkingsverantwoordelijke zal erop toezien dat elke onthulling van Persoonsgegevens aan de Verwerker betrekking heeft op Persoonsgegevens die op wettige wijze verzameld werden, d.w.z. op een wettelijke manier verwerkt werden zoals voorgeschreven in de artikelen 6-10 van de AVG. De Verwerkingsverantwoordelijke zal de Verwerker vergoeden voor alle verliezen, kosten en aansprakelijkheden van de Verwerker die direct of indirect zouden voortvloeien uit het niet naleven van deze verplichting door de Verwerkingsverantwoordelijke.

2.3 Het voorwerp, de duur, de aard en het doel van de verwerking alsook het type van verwerkte Persoonsgegevens en de categorieën van Betrokkenen worden opgesomd in Bijlage 1. Elke wijziging met betrekking tot een van de elementen opgelijst in Bijlage 1 zal tot een aanpassing van Bijlage 1 leiden, zoals gezamenlijk overeengekomen door de Partijen. Indien de Verwerker zich bewust wordt van het feit dat een van de elementen opgesomd in Bijlage 1 gewijzigd zal worden, dient hij de Verwerkingsverantwoordelijke hiervan meteen schriftelijk in kennis te stellen.

2.4 De Verwerker verwerkt de Persoonsgegevens alleen voor het nakomen van zijn verplichtingen krachtens de Overeenkomst, in overeenstemming met de Gegevensverwerkingsovereenkomst en de schriftelijke instructies van de Verwerkingsverantwoordelijke en zal de verwerking te allen tijde met hedendaagse veiligheidsmaatregelen en steeds conform de minimale organisatorische en technische veiligheidsmaatregelen uitvoeren, zoals uiteengezet in Bijlage 2 bij deze Gegevensverwerkingsovereenkomst. Elk ander gebruik van de Persoonsgegevens door de Verwerker, in eender welke vorm (zelfs in de vorm van anonieme of geanonimiseerde Persoonsgegevens) of op eender welke manier, is niet toegestaan. De Verwerker mag de Persoonsgegevens niet bewerken (of laten bewerken) (bijvoorbeeld door ze te kopiëren, af te drukken, door te sturen, te verrijken, aan te passen, enz.) tenzij en voor zover nodig voor de uitvoering van de Overeenkomst en de Gegevensverwerkingsovereenkomst.

2.5 Indien de Verwerker een of meerdere categorieën van Bijzondere Persoonsgegevens in naam en voor rekening van de Verwerkingsverantwoordelijke verwerkt, verbindt hij er zich toe om te voldoen aan de bijkomende specifieke verplichtingen van Bijlage 3. Bij eventuele tegenstrijdigheden of inconsistenties tussen de bepalingen van deze Gegevensverwerkingsovereenkomst en Bijlage 3 zullen de bepalingen van Bijlage 3 prevaleren. Indien de Verwerker geen categorieën van Bijzondere Persoonsgegevens verwerkt in naam en voor rekening van de Verwerkingsverantwoordelijke, dan zijn dit Artikel en Bijlage 3 niet van toepassing.

2.6 De Partijen zullen elk in hun respectieve hoedanigheid de Persoonsgegevens verwerken in overeenstemming met de WEC en, vanaf 25 mei 2018, de AVG, alsook conform elke andere toepasselijke regelgeving waaraan de Verwerkingsverantwoordelijke en/of de Verwerker onderworpen zijn.

2.7 De Verwerker erkent dat hij de voor Verwerkers bestemde rechten en verplichtingen toegewezen heeft gekregen of eraan onderworpen is krachtens, vanaf 25 mei 2018, de AVG. De Verwerker erkent dat de Verwerkingsverantwoordelijke de voor Verwerkingsverantwoordelijken bestemde rechten en verplichtingen toegewezen heeft gekregen of eraan onderworpen is krachtens, vanaf 25 mei 2018, de AVG.

2.8 De Verwerker verbindt er zich toe om de Persoonsgegevens in overeenstemming met de inhoud van Bijlage 1 te verwerken en dat in het bijzonder met betrekking tot de locatie van verwerking.

Artikel 3 – Vertrouwelijkheid

3.1 Ongeacht het type van Persoonsgegevens dat door de Verwerkingsverantwoordelijke aan de Verwerker toevertrouwd wordt, zal de Verwerker het bestaan van de verwerking in naam en voor rekening van de Verwerkingsverantwoordelijke en de Persoonsgegevens zelf als strikt vertrouwelijk behandelen. Deze vertrouwelijkheidsverplichting is nog strikter van toepassing op de verwerking van Bijzondere Persoonsgegevenscategorieën.

3.2 De Verwerker zal de Persoonsgegevens in geen enkele vorm (waaronder in de vorm van anonieme of geanonimiseerde Persoonsgegevens) of op geen enkele manier aan derden onthullen, noch derden toegang verlenen tot Persoonsgegevens, met inbegrip van subverwerkers, behalve in de gevallen en onder de voorwaarden voorzien bij Artikel 3.3.

De Verwerker zal de persoonsgegevens uitsluitend en alleen in naam en voor rekening van de Verwerkingsverantwoordelijke verwerken met het oog op de uitvoering van de Overeenkomst en zal dit in geen geval voor eigen rekening of voor rekening van derden doen.

3.3 De Verwerker mag derden wel toegang verlenen tot de Persoonsgegevens:

  • indien de Verwerkingsverantwoordelijke zijn voorafgaande en uitdrukkelijke schriftelijke goedkeuring hiervoor gegeven heeft – de Verwerkingsverantwoordelijke stemt er hierbij mee in dat er toegang tot de Persoonsgegevens verleend mag worden aan derden die in Bijlage 1 opgesomd worden. Indien de Verwerkingsverantwoordelijke ermee instemt om in de loop van de Overeenkomst een dergelijke toegang te verlenen aan nieuwe derden, dan zal Bijlage 1 dienovereenkomstig in onderling overleg aangepast worden;
  • indien de Verwerker verplicht is om een dergelijke toegang te verlenen krachtens een dwingende Belgische of Europese wettelijke bepaling. In dat geval zal de Verwerker – tenzij een dergelijke kennisgeving bij wet of om dwingende redenen van algemeen belang verboden zou zijn – de Verwerkingsverantwoordelijke op voorhand en schriftelijk informeren over het verzoek om toegang tot Persoonsgegevens, de relevante dwingende bepaling en het antwoord dat de Verwerker van plan is te geven op dit verzoek.

3.4 Behalve in de gevallen vermeld bij Artikel 3.3 (ii) verbindt de Verwerker er zich toe om erop toe te zien dat, wanneer hij derden toegang verleent tot de Persoonsgegevens, elke derde onderworpen is aan contractuele verplichtingen die minstens gelijkwaardig zijn aan die waaraan de Verwerker zelf onderworpen is ten opzichte van de Verwerkingsverantwoordelijke krachtens deze Gegevensverwerkingsovereenkomst. De Verwerker waarborgt dat elke derde aan wie hij toegang verleent tot de Persoonsgegevens, deze verplichtingen zal naleven.

3.5 De Verwerker mag zijn werknemers toegang tot de Persoonsgegevens verlenen op basis van het ‘need to know’-principe, d.w.z. voor zover de werknemers in kwestie een dergelijke toegang tot de Persoonsgegevens nodig hebben om de verplichtingen van de Verwerker krachtens de Overeenkomst en de Gegevensverwerkingsovereenkomst naar behoren te kunnen nakomen. De Verwerker zal de desbetreffende werknemers schriftelijk informeren over het vertrouwelijke karakter van de Persoonsgegevens samen met het wettelijke en contractuele kader van de Persoonsgegevens en zal de werknemers in kwestie een contractuele vertrouwelijkheidsverplichting opleggen. De Verwerker zal de werknemers die toegang kunnen hebben tot de Persoonsgegevens om de gegevensverwerking te kunnen verrichten, eenzelfde contractuele vertrouwelijkheidsverplichting opleggen als vermeld in onderhavig Artikel.

3.6 De Verwerker zal verantwoordelijk zijn voor de naleving van de vertrouwelijkheidsverplichting door iedereen (d.w.z. werknemers en contractanten) die weet heeft van de persoonsgegevens en/of de verwerking ervan.

3.7 De Verwerker zal de vertrouwelijkheid van de te verwerken persoonsgegevens waarborgen en zal de nodige organisatorische en technische veiligheidsmaatregelen treffen, zoals beschreven in Bijlage 2 bij deze overeenkomst. Deze organisatorische en technische maatregelen zullen voldoen aan artikel 32 van de AVG.

Artikel 4 – Verplichting tot het verlenen van bijstand

4.1 De Verwerker verbindt er zich toe om de Verwerkingsverantwoordelijke te helpen met het nakomen van zijn wettelijke verplichtingen krachtens de WEC (indien van toepassing) en, vanaf 25 mei 2018, de AVG. In die optiek zal de Verwerker binnen een redelijke termijn reageren op elk verzoek om bijstand van de Verwerkingsverantwoordelijke. Indien de Verwerker van mening is dat een verzoek of instructie van de Verwerkingsverantwoordelijke indruist tegen de WEC (indien van toepassing) of, vanaf 25 mei 2018, de AVG, zal hij de Verwerkingsverantwoordelijke daar onmiddellijk van in kennis stellen. Deze bijstand die de Verwerker aan de Verwerkingsverantwoordelijke verleent, zal onderworpen zijn aan een redelijke vergoeding.

4.2 Zodra de Verwerkingsverantwoordelijke hierom vraagt, zal de Verwerker de Verwerkingsverantwoordelijke informeren over de modaliteiten van zijn verwerking van Persoonsgegevens en zal hij toegang verlenen tot de verwerkte Persoonsgegevens alsook tot alle vereiste documenten, gebouwen, systemen, software, hardware, databanken, installaties en infrastructuur om de Verwerkingsverantwoordelijke toe te laten de naleving van de WEC (indien van toepassing) en, vanaf 25 mei 2018, de AVG na te gaan.

4.3 Zodra de Verwerkingsverantwoordelijke hierom vraagt, zal de Verwerker instemmen met en zijn medewerking verlenen aan audits en inspecties van zijn verwerking van Persoonsgegevens, zodat de Verwerkingsverantwoordelijke kan nagaan of de Verwerker zijn verplichtingen krachtens deze Gegevensverwerkingsovereenkomst en de geldende gegevensbeschermingswetten (AVG en nationale wetgeving betreffende de bescherming van persoonsgegevens) nakomt. De Verwerkingsverantwoordelijke kan deze audits en inspecties zelf uitvoeren of kan hiervoor een derde inschakelen. Als de Verwerkingsverantwoordelijke een beroep doet op een derde, zal deze derde geen directe concurrent van de Verwerker mogen zijn en zal de derde in kwestie ermee moeten instemmen om gebonden te zijn door vertrouwelijkheidsverplichtingen die niet minder bescherming zullen bieden dan de welke vermeld worden bij Artikel 3 van de Gegevensverwerkingsovereenkomst.

4.4 De Verwerker zal elk verzoek of elke vraag van een Betrokkene in verband met (de verwerking van) Persoonsgegevens meteen aan de Verwerkingsverantwoordelijke bezorgen. De Verwerkingsverantwoordelijke zal beslissen over het antwoord dat er ter zake gegeven dient te worden. Op verzoek van de Verwerkingsverantwoordelijke zal de Verwerker de Verwerkingsverantwoordelijke helpen met en ondersteunen bij het beantwoorden van dergelijke verzoeken van betrokkenen, voor zover redelijkerwijs mogelijk voor de Verwerker. Indien en voor zover dit binnen zijn technische capaciteiten en bevoegdheden krachtens de Gegevensverwerkingsovereenkomst valt, zal de Verwerker met name binnen 5 werkdagen voldoen aan elk verzoek van de Verwerkingsverantwoordelijke met betrekking tot het antwoord op of de tegemoetkoming aan de verzoeken van Betrokkenen. De Verwerker zal recht hebben op een redelijke compensatie voor de aldus verleende bijstand.

4.5 Voor zover de Verwerker zelf Persoonsgegevens aan derden meedeelde, zal hij onverwijld elke verandering, schrapping of beperking waarvan hij zich bewust zou worden met betrekking tot deze Persoonsgegevens, aan de derden in kwestie meedelen.

4.6 De Verwerker verbindt er zich toe om de Verwerkingsverantwoordelijke bij te staan bij het bepalen van de eventuele noodzakelijkheid van een gegevensbeschermingseffectbeoordeling voor de verwerking van Persoonsgegevens door de Verwerkingsverantwoordelijke. Dit houdt bijvoorbeeld in dat, als de verwerking van de Verwerker het gebruik van nieuwe technologieën vereist of als de Verwerker het aannemelijk acht dat de gebruikte technologie als ‘nieuw’ bestempeld zou kunnen worden en dat dergelijke nieuwe technologie wel eens tot een hoog risico voor de rechten en vrijheden van natuurlijke personen zou kunnen leiden, de Verwerker de Verwerkingsverantwoordelijke dienovereenkomstig verwittigt alvorens te starten met de verwerking van de Persoonsgegevens.

4.7 Indien de Verwerkingsverantwoordelijke van mening is dat er een gegevensbeschermingseffectbeoordeling uitgevoerd moet worden, verbindt de Verwerker er zich toe om de Verwerkingsverantwoordelijke op diens schriftelijk verzoek bij te staan bij de uitvoering van de gegevensbeschermingseffectbeoordeling. In dat geval bezorgt de Verwerker de Verwerkingsverantwoordelijke minstens de informatie vermeld in Bijlage 3 en zal hij pas met de verwerking beginnen na ontvangst van de (evaluatie van de) gegevensbeschermingseffectbeoordeling en de schriftelijke instructies van de Verwerkingsverantwoordelijke ter zake. De Verwerker zal recht hebben op een redelijke compensatie voor de aldus verleende bijstand.

4.8 Vanaf 25 mei 2018 is het zo dat, als een Betrokkene zijn/haar recht op overdraagbaarheid van gegevens wenst uit te oefenen met betrekking tot Persoonsgegevens die door de Verwerker in naam en voor rekening van de Verwerkingsverantwoordelijke verwerkt worden, de Verwerker de relevante Persoonsgegevens zal meedelen in een gestructureerde, standaard en machineleesbare vorm aan de Verwerkingsverantwoordelijke of, op verzoek van de Verwerkingsverantwoordelijke, aan de Betrokkene. De Verwerker zal recht hebben op een redelijke compensatie voor de aldus verleende bijstand.

Artikel 5 – Inbreuk in verband met Persoonsgegevens

5.1 Indien er een Inbreuk in verband met Persoonsgegevens plaatsvindt of plaatsgevonden heeft, zal de Verwerker, zodra hij zich bewust is geworden van de inbreuk, de juridische afdeling van de Verwerkingsverantwoordelijke per telefoon en e-mail verwittigen.

5.2 De Verwerker bezorgt de Verwerkingsverantwoordelijke bij de melding van het incident – of, als dat niet haalbaar is, zo snel mogelijk na de melding van de Inbreuk in verband met Persoonsgegevens – de volgende informatie over de Inbreuk in verband met Persoonsgegevens:

  • de aard van de Inbreuk in verband met Persoonsgegevens (datalek);
  • waar mogelijk, de categorieën van Betrokkene(n);
  • het geraamde aantal Betrokkenen;
  • de Persoonsgegevenscategorieën;
  • de geraamde hoeveelheid Persoonsgegevens;
  • de naam en de contactgegevens van de functionaris voor gegevensbescherming, als de Verwerker een dergelijke functionaris heeft aangesteld, of, als er geen dergelijke functionaris voor gegevensbescherming is, een ander contactpunt waar meer informatie over de Inbreuk in verband met Persoonsgegevens kan worden verkregen;
  • de waarschijnlijke gevolgen en risico’s, met inbegrip van de waarschijnlijke gevolgen en risico’s voor de Betrokkenen;
  • de getroffen maatregelen om de Inbreuk in verband met Persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen ervan.

5.3 De Verwerker zal de Verwerkingsverantwoordelijke zoveel mogelijk bijstaan bij het rapporteren van een Inbreuk in verband met Persoonsgegevens aan de toezichthoudende autoriteit en/of de Betrokkene(n). De Verwerker zal in ieder geval op prioritaire basis reageren op alle vragen/verzoeken van de Verwerkingsverantwoordelijke met betrekking tot de Inbreuk in verband met Persoonsgegevens.

Artikel 6 – Organisatorische en technische veiligheidsmaatregelen

6.1 De Verwerker verbindt er zich toe om de gepaste technische en organisatorische veiligheidsmaatregelen te treffen en na te leven, die nodig zijn ter bescherming van de Persoonsgegevens.

6.2 De Verwerker zal rekening houden met de door de Verwerkingsverantwoordelijke bezorgde informatie over de verwerkingsactiviteiten die namens de Verwerkingsverantwoordelijke verricht worden bij het bepalen van de gepaste technische en organisatorische veiligheidsmaatregelen, (i) de stand van de techniek, (ii) de met deze maatregelen gepaard gaande uitvoeringskosten, (iii) de aard, de omvang, de context en de doeleinden van de verwerking, (iv) de risico’s voor de rechten en vrijheden van de Betrokkenen, in het bijzonder bij accidentele of onwettige vernietiging, verlies, wijziging, ongeoorloofde onthulling van of ongeoorloofde toegang tot bezorgde, opgeslagen of op een andere manier verwerkte Persoonsgegevens, en (v) de waarschijnlijkheid dat de verwerking een impact zal hebben op de rechten en vrijheden van de Betrokkenen. Indien de Verwerker niet voldoende gedetailleerde informatie krijgt van de Verwerkingsverantwoordelijke, zal de Verwerker de nodige technische en organisatorische veiligheidsmaatregelen niet kunnen bepalen.

6.3 De Verwerker zal deze maatregelen regelmatig actualiseren in overeenstemming met de criteria waarnaar verwezen wordt in Artikel 6.2 en rekening houdend met elk incident.

6.4 De Verwerker zal de minimale gepaste technische en organisatorische veiligheidsmaatregelen implementeren zoals opgesomd in Bijlage 2

Artikel 7 – Aansprakelijkheid

7.1 De Verwerker is aansprakelijk en zal de Verwerkingsverantwoordelijke vergoeden voor alle hoofdsommen, kosten, interesten en andere uitgaven in het kader van de betaling van schadevergoedingen aan of claims van derden, waaronder de Betrokkene, alsook voor boetes, administratieve sancties en andere gerechtskosten en andere eisen krachtens claims die ingediend kunnen worden tegen de Verwerkingsverantwoordelijke door personen, een gegevensbeschermingsautoriteit of een overheid naar aanleiding van een inbreuk van de Verwerker op de Gegevensbeschermingsovereenkomst en de verplichtingen die specifiek aan de Verwerker opgelegd worden door de WEC (indien van toepassing) en, vanaf 25 mei 2018, de AVG.

7.2 De Verwerker zal de Verwerkingsverantwoordelijke vergoeden voor alle schade veroorzaakt door derden (d.w.z. subverwerkers) die door de Verwerker aangesteld werden.

7.3 De Verwerkingsverantwoordelijke dient het causaal verband tussen de geleden schade en de inbreuk van de Verwerker aan te tonen vooraleer aanspraak te kunnen maken op eventuele schadevergoedingen.

7.4 De Verwerker is enkel aansprakelijk wanneer de oorzaak van het incident de verantwoordelijkheid van de Verwerker is. Gevolgschade van een fout bij de Verwerkingsverantwoordelijke of een andere verwerker aangesteld door de Verwerkingsverantwoordelijk is hiervan uitgesloten.

7.5 De totale aansprakelijkheid van de Verwerker zal in ieder geval niet groter kunnen zijn dan het bedrag van de jaarlijkse licentie met de Verwerkingsverantwoordelijke en kan in geen geval het totale verzekerd bedrag, per polis periode voor alle schade van alle verzekerden onder alle verzekeringswaarborgen samen: € 5.000.000, overstijgen.

7.6 De totale aansprakelijkheid van de Verwerker zal in ieder geval niet groter kunnen zijn dan het totale bedrag aan kosten dat door de Verwerkingsverantwoordelijke betaald werd.

Artikel 8 – Overmacht

8.1 De volgende omstandigheden worden aanvaard als gevallen van overmacht, mochten ze plaatsvinden na de sluiting van deze Gegevensverwerkingsovereenkomst en de uitvoering ervan verhinderen: arbeidsgeschillen en alle overige omstandigheden, zoals brand, mobilisatie, beslag, embargo, verbod op overdracht van deviezen, opstand, een tekort aan transportmiddelen, algemene schaarste van grondstoffen, beperkingen inzake energieverbruik, cyberaanvallen als deze omstandigheden zich buiten de wil van de partijen om voordoen.

8.2 De partij die zich op bovenstaande omstandigheden beroept, moet de andere partij onverwijld schriftelijk op de hoogte brengen van zowel het begin als het einde van de omstandigheden van overmacht.

Als een van deze omstandigheden zich voordoet, ontslaat dit zowel de Verwerkingsverantwoordelijke als de Verwerker van elke aansprakelijkheid.

Artikel 9 – Doorgifte van Persoonsgegevens

9.1 De Verwerker mag de Persoonsgegevens niet doorgeven aan een land buiten de Europese Economische Ruimte (d.w.z. op dit ogenblik de Europese Unie, Liechtenstein, IJsland en Noorwegen), tenzij dat land of de respectieve onderneming(en) (met inbegrip van aan de Verwerker gelinkte bedrijven) waaraan de Persoonsgegevens doorgegeven zou(den) worden, een gepast niveau van bescherming voor Persoonsgegevens garandeert/garanderen en de Verwerkingsverantwoordelijke vooraf schriftelijk heeft ingestemd met de doorgifte. De Verwerkingsverantwoordelijke stemt ermee in om de gegevens door te geven aan de landen die in Bijlage 1 opgesomd worden.

9.2 Een doorgifte aan een land buiten de Europese Economische Ruimte is toegestaan zonder de schriftelijke toestemming van de Verwerkingsverantwoordelijke, als deze doorgifte nodig is op basis van een rechtsregel die krachtens de wetgeving van de EU of de Belgische wetgeving als dwingend geldt. In dat geval zal de Verwerker de Verwerkingsverantwoordelijke op voorhand schriftelijk op de hoogte brengen van de wettelijke bepaling op grond waarvan de Verwerker verplicht is om de Persoonsgegevens door te geven, tenzij de relevante wetgeving een dergelijke kennisgeving omwille van redenen van algemeen belang verbiedt.

9.3 De Verwerker garandeert dat het land of de onderneming waaraan de Persoonsgegevens doorgegeven worden, voor een gepast niveau van bescherming voor de Persoonsgegevens zorgt.

9.4 In het geval van een doorgifte van Persoonsgegevens door de Verwerker aan een land buiten de Europese Economische Ruimte wordt het gepaste niveau van bescherming gewaarborgd door de ondertekening van de Modelcontractbepalingen van de Europese Commissie. De Partijen erkennen het gebrek aan Modelcontractbepalingen van de Europese Commissie voor doorgiften van ‘verwerker aan subverwerker’. Een dergelijke specifieke doorgifte kan geregulariseerd worden, voor zover de Verwerker garandeert dat de subverwerker, naar keuze van de Verwerkingsverantwoordelijke, de Modelcontractbepalingen van de Europese Commissie ‘verwerkingsverantwoordelijke-verwerker’ rechtstreeks met de Verwerkingsverantwoordelijke of de Modelcontractbepalingen van de Europese Commissie ‘verwerkingsverantwoordelijke-verwerker’ met de Verwerker namens de Verwerkingsverantwoordelijke zal sluiten. In beide gevallen zal de Verwerker de Verwerkingsverantwoordelijke vergoeden voor alle schade en claims die uit de niet-naleving door de subverwerker van de Modelcontractbepalingen van de Europese Commissie zouden voortvloeien.

Artikel 10 – Duur en beëindiging

10.1 De Gegevensverwerkingsovereenkomst zal van kracht worden op de datum van haar ondertekening.

10.2 De Gegevensverwerkingsovereenkomst zal van kracht blijven voor de duur van de Overeenkomst. Deze Gegevensverwerkingsovereenkomst zal automatisch eindigen, wanneer de Overeenkomst eindigt.

10.3 In het geval van een inbreuk op een van de bepalingen van deze Gegevensverwerkingsovereenkomstdoor een Partij kan deze Gegevensverwerkingsovereenkomstonmiddellijk opgezegd worden door de andere Partij ten nadele van de in gebreke blijvende Partij. Verder kan deze Gegevensverwerkingsovereenkomstook op elk moment opgezegd worden met inachtneming van een opzeggingstermijn van twee maanden door middel van een aangetekende brief.

10.4 Bij afloop van de Gegevensverwerkingsovereenkomst moeten alle Persoonsgegevens en alle fysieke of elektronische kopieën ervan onmiddellijk aan de Verwerkingsverantwoordelijke bezorgd worden in een gestructureerd, gangbaar en (machine)leesbaar formaat. De Verwerker zal, naar keuze van de Verwerkingsverantwoordelijke, alle Persoonsgegevens wissen aan het einde van de verstrekking van diensten op het vlak van gegevensverwerking en bestaande kopieën verwijderen, tenzij de bewaring van de Persoonsgegevens voorgeschreven wordt door wetgeving van de EU en/of Belgische wetgeving.

Artikel 11 – Toepasselijk recht & bevoegde rechtbanken

Deze Overeenkomst zal uitsluitend beheerst worden door het Belgische recht.

Alle geschillen die er uit deze Gegevensverwerkingsovereenkomst voortvloeien, zullen uitsluitend beslecht worden door de Rechtbanken van Kortrijk.

Artikel 12 – Slotbepalingen

12.1 De Gegevensverwerkingsovereenkomst is splitsbaar. Mochten een of meerdere bepalingen die geen invloed hebben op de essentie van de Gegevensverwerkingsovereenkomst, geheel of gedeeltelijk ongeldig, nietig of onafdwingbaar verklaard worden, dan zal dit geen invloed hebben op de geldigheid en afdwingbaarheid van de overige bepalingen van deze Gegevensverwerkingsovereenkomst, noch van de hele Overeenkomst. De Gegevensverwerkingsovereenkomst zal van kracht blijven tussen de Partijen alsof de ongeldige, nietige of onafdwingbare bepaling nooit bestaan heeft.

12.2 In voormeld geval verbinden de Partijen er zich toe om de Gegevensverwerkingsovereenkomst te goeder trouwe te heronderhandelen om de (geheel of gedeeltelijk) nietige, ongeldige of onafdwingbare bepaling te vervangen door een bepaling die zo dicht mogelijk in de buurt komt van het doel dat met de ongeldige, nietige of onafdwingbare bepaling beoogd werd.

12.3 De wijzigingen van en aanvullingen op de Gegevensverwerkingsovereenkomst zijn alleen geldig, als ze uitdrukkelijk schriftelijk overeengekomen werden tussen de Partijen.

12.4 Mocht een bepaling van de Overeenkomst onverenigbaar of in strijd met deze Gegevensverwerkingsovereenkomst zijn, dan zal de Gegevensverwerkingsovereenkomst prevaleren.

12.5 Mochten de Persoonsgegevens of mocht de relatie tussen de Partijen het voorwerp uitmaken van nieuwe (Europese) wetgeving of jurisprudentie, dan stemmen de Partijen ermee in om de Gegevensverwerkingsovereenkomst te goeder trouw te heronderhandelen en om de Gegevensverwerkingsovereenkomst af te stemmen op deze nieuwe (Europese) wetgeving of jurisprudentie.

12.6 Indien de Verwerker onderworpen is aan een gedragscode of gecertificeerd is met betrekking tot de verwerking van Persoonsgegevens, verbindt hij er zich toe om deze gedragscode of deze certificering na te leven en aan te houden gedurende de hele looptijd van de Gegevensverwerkingsovereenkomst.

 

Opgemaakt in twee originele exemplaren waarvan elke partij verklaart een origineel en ondertekend exemplaar te hebben ontvangen te …………………………………. op ………………………………….

 

De Verwerkingsverantwoordelijke

De Verwerker

 

Bijlages

Bijlage 1 – Overzicht van de Overeenkomst en de verwerkingsprocessen

Gegevensverwerkingsovereenkomst verwijst naar voorliggende gegevensverwerkings-overeenkomst met inbegrip van haar bijlagen;
Overeenkomstverwijst naar de overeenkomst tussen de Verwerkingsverantwoordelijke en de Verwerker
Biometrische Gegevensdoelt op Persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan een eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens;
Gegevens Over Gezondheidzijn Persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon, waaronder gegevens over verleende gezondheidsdiensten, waarmee informatie over zijn of haar gezondheidstoestand wordt gegeven, met inbegrip van een patiëntnummer, medische diensten, bloedwaarden, enz.;
Betrokkene(n)betekent de identificeerbare of geïdentificeerde natuurlijke perso(o)n(en) van wie Persoonsgegevens worden verwerkt;
WECbetekent de Wet van 13 juni 2005 betreffende de Elektronische Communicatie;
Algemene Verordening Gegevensbescherming of AVGverwijst naar Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG;
Genetische Gegevenszijn Persoonsgegevens die verband houden met de overgeërfde of verworven genetische kenmerken van een natuurlijke persoon die unieke informatie verschaffen over de fysiologie of de gezondheid van die natuurlijke persoon en die met name voortkomen uit een analyse van een biologisch monster van die natuurlijke persoon;
Justitiële Gegevenszijn Persoonsgegevens in verband met gerechtelijke veroordelingen, beschuldigingen en vervolgingen in verband met strafrechtelijke misdrijven, hangende procedures bij administratieve instanties of rechtbanken, administratieve sancties en veiligheidsmaatregelen;
Inbreuk in verband met Persoonsgegevens (datalek) betekent een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens leidt;
Gevoelige Gegevens zijn Persoonsgegevens waaruit de raciale of etnische oorsprong, de politieke meningen, de religieuze of filosofische overtuigingen of het lidmaatschap van een vakbond blijken, alsook gegevens in verband met iemands seksuele gedrag of seksuele geaardheid;
Bijzondere categorieën van Persoonsgegevens doelt op een of meerdere van de volgende categorieën van Persoonsgegevens: Gegevens Over Gezondheid, Gevoelige Gegevens (met inbegrip van gegevens waaruit de raciale of etnische oorsprong, de politieke meningen, de religieuze of filosofische overtuigingen of het lidmaatschap van een vakbond blijken, gegevens in verband met het seksleven of de seksuele geaardheid van een natuurlijke persoon), Genetische Gegevens, Biometrische Gegevens of Justitiële Gegevens.

Bijlage 2 – Technische en organisatorische veiligheidsmaatregelen

De Verwerker zal de volgende veiligheidsmaatregelen ter bescherming van de persoonsgegevens implementeren en voorzien:

Organisatorische maatregelen

  • Acceptable use & Information Security Policy
  • Bewustmaking van het personeel via informatieverstrekking en opleiding
  • Procedure voor het melden van fysieke/technische incidenten
  • Disciplinaire gevolgen bij niet-naleving van een van de maatregelen

Technische maatregelen

  • Back-upsysteem
  • Toegangscontrole (fysiek en logisch)
  • Authentificatiesysteem
  • Paswoordbeleid
  • Gebruikers-ID-beleid
  • Loggingsysteem, toegangsdetectie en -analyse
  • Patching
  • Antivirus
  • Firewall
  • Netwerkbeveiliging
  • Bewaking, onderzoek en onderhoud van de systemen

 

Bijlage 3 – Bijzondere Persoonsgegevenscategorieën

Indien de Verwerker een of meerdere categorieën van Bijzondere Persoonsgegevens namens de Verwerkingsverantwoordelijke verwerkt, verbindt hij er zich toe om de volgende bijkomende verplichtingen na te leven. Deze Bijlage 3 is niet van toepassing, als de Verwerker geen Bijzondere Persoonsgegevenscategorieën verwerkt.

  1. Lijst van personen die toegang hebben tot de Bijzondere Persoonsgegevenscategorieën
    De Verwerker zal een lijst van de categorieën van personen bijhouden, die toegang hebben tot de Bijzondere Persoonsgegevenscategorieën. De hoedanigheid van deze (categorieën van) personen moet eveneens in de lijst opgenomen worden.Deze lijst moet ter beschikking gesteld worden van de Verwerkingsverantwoordelijke en de toezichthoudende autoriteit.
  2. Gegevensbeschermingseffectbeoordeling
    Indien de Verwerker verzocht wordt om op grote schaal Bijzondere Persoonsgegevenscategorieën te verwerken namens de Verwerkingsverantwoordelijke, zal de Verwerker pas met de verwerking beginnen, nadat er een gegevensbeschermingseffectbeoordeling werd uitgevoerd door de Verwerkingsverantwoordelijke. In dat geval zal de Verwerker de Verwerkingsverantwoordelijke bijstaan door het verstrekken van de in Bijlage 4 vermelde informatie aan de Verwerkingsverantwoordelijke, zodat de Verwerkingsverantwoordelijke een Gegevensbeschermingsbeoordeling kan verrichten.
  3. Technische en organisatorische maatregelen
    Gezien de gevoeligheid van de Bijzondere Persoonsgegevenscategorieën zoals vermeld in Bijlage 1, verbindt de Verwerker er zich toe om de technische en organisatorische maatregelen te implementeren zoals bepaald en opgesomd in Bijlage 2.

Bijlage 4 – Gegevensbeschermingseffectbeoordeling

Indien er een gegevensbeschermingseffectbeoordeling uitgevoerd moet worden, staat de Verwerker de verwerkingsverantwoordelijke waar nodig en op verzoek bij. De Verwerker bezorgt de Verwerkingsverantwoordelijke de volgende informatie zo snel mogelijk en voor zover de Verwerkingsverantwoordelijke de Verwerker voldoende informatie heeft bezorgd om de beoordeling grondig te kunnen verrichten en rekening houdend met het feit dat de Verwerker de persoonsgegevens verwerkt namens en op instructie van de Verwerkingsverantwoordelijke:

  • een systematische beschrijving van de beoogde verwerkingen;
  • een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot de in de Overeenkomst opgenomen doeleinden;
  • een beoordeling van de risico’s voor de rechten en vrijheden van Betrokkenen;
  • de beoogde maatregelen om de risico’s aan te pakken, waaronder waarborgen, veiligheidsmaatregelen en mechanismen om de bescherming van Persoonsgegevens te garanderen en om aan te tonen dat aan de Algemene Verordening Gegevensbescherming is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van de Betrokkene(n) en andere betrokken personen.