Deze website maakt gebruik van cookies om uw ervaring te verbeteren.

Verwerkingsovereenkomst Algemene Verordening Gegevensbescherming (GDPR)


De verwerker treedt op als dienstverlener ten aanzien van de klant. In het kader van deze opdracht ontvangt de verwerker de toegang tot persoonsgegevens van de klant of van de medewerkers van de klant, die hiervoor als verwerkingsverantwoordelijke steeds de eindverantwoordelijkheid draagt. Bij huidige verwerkingsovereenkomst regelen de partijen de modaliteiten en afspraken aangaande die verwerking.

Artikel 1.

Definities en begrippen

In het kader van deze bijlage moet onder de onderstaande begrippen het volgende worden verstaan:
De AVG: de Algemene Verordening Gegevensbescherming (EU Verordening 2016/679).
Datalek: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins door Dienstverlener verwerkte gegevens.
Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de betrokkene) die de verwerker in het kader van deze bijlage verwerkt. Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
Samenwerkingsovereenkomst: de basisovereenkomst(en) tussen de Klant en de Dienstverlener.
Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
Verwerkingsverantwoordelijke:
een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen
Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. In het kader van deze bijlage, wordt de Dienstverlener als verwerker beschouwd.
Betrokkene: geïdentificeerde of identificeerbaar natuurlijk persoon op wie de verwerkte persoonsgegevens betrekking hebben.

Artikel 2.

Verwerking van Persoonsgegevens

2.1. In het kader van de opdracht tussen partijen en in de context van de AVG treedt de Klant op als Verwerkingsverantwoordelijke en treedt de Dienstverlener op als Verwerker.
2.2. Als verwerkingsverantwoordelijke behoudt de Klant het volledige zeggenschap over de Persoonsgegevens en bepaalt hij/zij het onderwerp, de aard, het doel, de middelen en de duur van de verwerking van persoonsgegevens door de Dienstverlener in het kader van deze Verwerkingsovereenkomst.
2.3. Als verwerker verwerkt de Dienstverlener de Persoonsgegevens die hem door en op instructie van de Klant werden toevertrouwd in het kader van diensten die de Klant afneemt van de Dienstverlener overeenkomstig de tussen hen afgesloten Samenwerkingsovereenkomst.
2.4. Bij de verwerking van Persoonsgegevens handelen de Dienstverlener en de Klant in overeenstemming met de wettelijke en reglementaire bepalingen inzake bescherming van Persoonsgegevens, inclusief de AVG.
2.5. Indien de Klant zelf als verwerker optreedt voor een derde verwerkingsverantwoordelijke wijzigt dit niets aan de zeggenschap en verantwoordelijkheid van de Klant ten aanzien van de Persoonsgegevens in het kader van deze Verwerkingsovereenkomst.
2.6. De Dienstverlener verwerkt de Persoonsgegevens die zij van de Klant ontvangt conform de onderhavige Verwerkingsovereenkomst en de aan hem verstrekte opdracht en taken. De aard van de gegevens die door de Dienstverlener worden verwerkt en de doelstellingen van de verwerking, worden hierna beschreven. De Klant ziet erop toe dat enkel die Persoonsgegevens die strikt noodzakelijk zijn voor de doelstellingen hierna omschreven aan de Dienstverlener worden verstrekt en dat ze op een veilige manier aan de Dienstverlener worden verstrekt.
A. Aard van de Persoonsgegevens
Algemeen: alle gegevens die uit hoofde van wettelijke, reglementaire of conventionele bepalingen worden bijgehouden in het kader van de orderadministratie en klantenbeheer en die betrekking hebben op:
- Contactgegevens van de contactpersonen: naam en voornaam, telefoonnummer, Gsmnummer, email-adres;
- Adresgegevens (levering en facturatie): straat, huisnummer, postcode, gemeente;
- Telefoonnummer (privé en professioneel), Gsm-nummer (privé en professioneel), emailadres (privé en professioneel);
- Taal;
- Ondernemingsnummer;
- Facturatiegegevens;
- Financiële gegevens: gegevens bankrekeningnummer;
B. Doelstellingen van de verwerking
De hierboven vermelde Persoonsgegevens worden door de Dienstverlener verwerkt met als mogelijke doelstellingen, afhankelijk van de behoeften en/of afspraken met de Klant:
- Het voeren van schriftelijke en mondelinge communicatie met de contactpersonen aangeduid door de klant;
- Het uitvoeren van en adviseren omtrent het orderbeheer en de klantenadministratie van de klant;
- Het opmaken en doorsturen van offerte -aanvragen die voortvloeien uit de orderadministratie naar leveranciers van de Dienstverlener.
- Het verwerken van gegevens in het kader van analyseren, ontwikkelen, implementeren en optimaliseren van softwaretoepassingen.
- …
2.7. De Dienstverlener zal alle redelijke inspanningen leveren om de Persoonsgegevens die haar door de Klant werden toevertrouwd op een behoorlijke en zorgvuldige wijze te verwerken
2.8. Behoudens andersluidende bepalingen in deze Verwerkingsovereenkomst en behoudens dwingende wettelijke verplichtingen in het kader van de uitvoering van haar opdracht zal de Dienstverlener de persoonsgegevens niet aan derden verstrekken.
2.9. Indien een op de Dienstverlener van toepassing zijnde wettelijke of reglementaire bepaling of een bindende beslissing van een overheid of gerechtelijke instantie de Dienstverlener verplicht tot een bepaalde verwerking, dan zal de Dienstverlener de Klant hiervan in kennis stellen voorafgaand aan deze verwerking, tenzij die bepaling deze kennisgeving verbiedt omwille van redenen van algemeen belang.
2.10. De Klant garandeert dat zijn/haar instructies aan de Dienstverlener in overeenstemming zijn met de wet- en regelgeving inzake gegevensbescherming, die hij correct en volledig toepast, alsook met de instructies die door de verwerkingsverantwoordelijke werden verstrekt aan de Klant indien de Klant niet zelf als verwerkingsverantwoordelijke optreedt.
2.11. De Klant garandeert eveneens dat alle Persoonsgegevens die aan de Dienstverlener worden toevertrouwd rechtmatig werden verkregen en rechtmatig kunnen worden verwerkt tijdens de hele duur van deze Verwerkingsovereenkomst. De Klant vrijwaart de Dienstverlener integraal tegen elke klacht, actie of vordering vanwege Betrokkenen, derden, overheden en de verwerkingsverantwoordelijke als de Klant zelf als verwerker optreedt, die in dit verband wordt ingesteld alsook tegen elke schade die hieruit voortvloeit ten laste van de Dienstverlener, inclusief (administratieve) geldboeten, zowel in hoofdsom, interesten als kosten.
2.12. Indien de Dienstverlener zou oordelen dat de instructies van de Klant een inbreuk inhouden op de wet- en regelgeving inzake gegevensbescherming maakt zij hiervan onverwijld melding aan de Klant en kan de Dienstverlener beslissen om de verwerking niet uit te voeren en/of op te schorten. Een eventueel gebrek aan melding in hoofde van de Dienstverlener doet niets af van de aansprakelijkheid van de Klant ten aanzien van de Dienstverlener ten gevolge van de onrechtmatige instructie.

Artikel 3.

Beroep op derden

3.1. In geval de Dienstverlener in het kader van de verwerking van Persoonsgegevens en conform de bepalingen van de Samenwerkingsovereenkomst beroep doet op derden, streeft de Dienstverlener er steeds naar dat de betreffende derden een gelijkaardig niveau van gegevensbescherming kunnen bieden als opgenomen voor de Dienstverlener in deze Verwerkingsovereenkomst.
3.2. De Dienstverlener informeert de Klant overeenkomstig artikel 5, en voor zover de informatie beschikbaar is, van ieder Datalek vastgesteld bij een door de Dienstverlener ingeschakelde derde en dit zonder onredelijke vertraging van zodra de Dienstverlener hiervan op de hoogte is.

Artikel 4.

Beveiliging en geheimhoudingsplicht

4.1. De Dienstverlener is gehouden tot geheimhouding van de Persoonsgegevens die zij van de Klant ontvangt, behoudens indien en voor zover een wettelijk voorschrift haar verplicht tot openbaarmaking, dan wel de openbaarmaking in opdracht van de Klant geschiedt.
4.2. De Dienstverlener neemt naar best vermogen passende technische en organisatorische maatregelen om de Persoonsgegevens die haar door de Klant werden verstrekt te beveiligen tegen verlies of enige vorm van onrechtmatige toegang of verwerking ervan. Deze maatregelen richten zich er toe om, met inachtneming van de laatste stand der techniek en kosten gemoeid met de implementatie en uitvoering van de maatregelen, een passend beschermingsniveau te kunnen bieden, zulks rekening houdende met de risico’s die het verwerken van de Persoonsgegevens en de aard ervan, met zich meebrengen. Hierna worden deze maatregelen bij wijze van voorbeeld toegelicht.
De Dienstverlener neemt met name naar best vermogen alle redelijke, passende technische en organisatorische beveiligingsmaatregelen die ervoor zorgen dat de toevertrouwde Persoonsgegevens geen voorwerp zijn van verlies of van onrechtmatige verwerking waaronder toegang door onbevoegden.
Om vast te stellen welke de passende beveiligingsmaatregelen zijn, wordt een afweging gemaakt op basis van de risico’s van de verwerking aan de hand van onder meer volgende criteria:
- Het soort Persoonsgegevens dat wordt verwerkt (gevoelig of niet gevoelig);
-De hoeveelheid Betrokkenen van wie gegevens worden verwerkt;
-Het doel waarvoor de Persoonsgegevens worden verwerkt;

Overzicht technische beveiligingsmaatregelen:
-Het gebruik van een virusscan;
-Installatie van een firewall;
-Het hanteren van een paswoordpolicy nl. unieke logincodes en persoonlijk wachtwoord dat regelmatig wordt aangepast;
-Systematisch maken van beveiligde back-ups om te beschermen tegen dataverlies;
-Afscherming van fysieke toegang tot persoonsgegevens voor personen die hier uit hoofde van hun takenpakket geen toegang toe moeten hebben;
-Geen gebruik maken van onbeveiligde harde schijven;
-Gebruik maken van encryptietechnieken bij de opslag van persoonsgegevens;

Overzicht organisatorische maatregelen:
-Het hanteren van een algemeen informatiebeleid voor personeel i.v.m. privacy;
-Het opstellen van interne procedures i.v.m. indienst en uitdienst van medewerkers die persoonsgegevens beheren;
-Het opstellen van een interne policy en richtlijnen i.v.m. het vertrouwelijk omgaan met persoonsgegevens;
-Het aanduiden van een verantwoordelijke voor informatiebeveiliging;
-Het toepassen van een vastgelegde procedure omtrent het verwijderen van persoonsgegevens die zich bevinden op afgedankte apparatuur en opslagmedia (bv. op laptops en smartphones) en op apparatuur die terug ingediend wordt door medewerkers die de onderneming verlaten;
….
4.3. De Dienstverlener zorgt ervoor dat al haar personeel dat betrokken is bij de verwerking van Persoonsgegevens op de hoogte is van de door haar in deze Verwerkingsovereenkomst opgenomen verplichtingen en verplicht is die na te komen. Dit gebeurt door een geheimhoudingsverklaring als bijlage bij de arbeidsovereenkomst en/of arbeidsreglement, via het vastleggen van interne policies en door het regelmatig informeren van het personeel via infosessies.
4.4. Na de beëindiging van deze Verwerkingsovereenkomst blijven de verplichting tot het melden van Datalekken overeenkomstig artikel 5 en de plicht tot geheimhouding voortduren, voor zover het Persoonsgegevens betreft die de Dienstverlener in opdracht van de Klant heeft verwerkt.

Artikel 5.

Behandeling van datalekken

5.1. De Dienstverlener zal de Klant gedetailleerd op de hoogte stellen indien een Datalek met potentiële impact voor de Klant bij haar heeft plaatsgevonden en dat haar toerekenbaar is, en dit uiterlijk binnen de 2 werkdagen nadat de Dienstverlener hiervan kennis heeft genomen.
5.2. De Dienstverlener verschaft uit eigen beweging aan de Klant alle beschikbare informatie betreffende het Datalek, waaronder de aard en de omvang van de Persoonsgegevens, inschatting van het aantal betrokkenen en de getroffen veiligheidsmaatregelen.
5.3. De Dienstverlener zal de Klant alle redelijkerwijze benodigde medewerking verlenen ten behoeve van het verkrijgen van inzicht in de ernst en (mogelijke) gevolgen van een vastgesteld Datalek bij de Dienstverlener.

Artikel 6.

Bewaartermijn en verwijdering van persoonsgegevens

6.1. De Dienstverlener bewaart de Persoonsgegevens gedurende de termijn dewelke noodzakelijk is voor het verrichten van de opdracht cf. bepaald is in de Samenwerkingsovereenkomst met de Klant, inclusief verlengingen, en na afloop ervan aanvullend gedurende een termijn van maximum 10 jaar, behoudens indien gerechtvaardigde redenen een langere bewaartermijn zouden noodzaken.
6.2. Na afloop van de in art. 6.1 vooropgestelde bewaartermijn zal de Dienstverlener de Persoonsgegevens die ze in het kader van de Samenwerkingsovereenkomst heeft verwerkt op een uitdrukkelijk en schriftelijk verzoek van de Klant, op een zorgvuldige en veilige wijze vernietigen voor zover er geen wettelijke verplichting rust op de Dienstverlener om bepaalde Persoonsgegevens gedurende een bepaalde termijn te bewaren.
6.3. Op uitdrukkelijk en schriftelijk verzoek van de Klant kunnen de Persoonsgegevens na afloop van de vooropgestelde bewaartermijn terugbezorgd worden aan de Klant. De teruggave geschiedt ten vroegste na een termijn van drie maanden die ingaat na afloop van de vooropgestelde bewaartermijn en gebeurt uitsluitend onder elektronische vorm.
6.4. De Dienstverlener kan afwijken van de hiervoor bepaalde verwijdering voor zover dat noodzakelijk is om tegenover de Klant de nakoming van haar verplichtingen te bewijzen.
6.5. De teruggave en/of vernietiging van Persoonsgegevens zoals bepaald in dit artikel, geeft aanleiding tot een redelijke vergoeding voor de Dienstverlener ten laste van de Klant, waarvan de modaliteiten overeen te komen zijn.

Artikel 7.

Diverse bepalingen

7.1. De Klant heeft steeds het recht om, mits naleving van de geheimhoudingsplicht voorzien in de Samenwerkingsovereenkomst, zelf de naleving door de Dienstverlener van deze Verwerkingsovereenkomst te controleren door informatie op te vragen bij de Dienstverlener die aantoont dat de Dienstverlener de in deze Verwerkingsovereenkomst vervatte verplichtingen naleeft.
7.2. De Dienstverlener is gerechtigd om (i) eventuele wijzigingen en/of updates aan te brengen inzake de maatregelen en processen beschreven in huidig document teneinde aan haar verplichtingen in het kader van deze Verwerkingsovereenkomst te kunnen blijven voldoen en (ii) eventuele wijzigingen aan te brengen die noodzakelijk zijn om te kunnen voldoen aan wettelijke verplichtingen in hoofde van de Dienstverlener dan wel aan bindende beslissingen van een overheid of een gerechtelijke instantie.
7.3. In geval van vragen kan u zich steeds wenden tot
privacy@ckfive.be



Laden
Laden