GDPR bijlage

Artikel 1. Definities en begrippen

In het kader van deze bijlage moet onder de onderstaande begrippen het volgende worden verstaan:

• De AVG: de Algemene Verordening Gegevensbescherming (EU Verordening 2016/679).
• Datalek: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins door Dienstverlener verwerkte gegevens.
• Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de betrokkene) die de Verwerker in het kader van deze bijlage verwerkt. Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
• Samenwerkingsovereenkomst: : de basisovereenkomst(en) tussen de Klant en de Dienstverlener.
• Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
• Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; In het kader van deze bijlage wordt de klant als verwerkingsverantwoordelijke beschouwd.
• Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. In het kader van deze bijlage, wordt de Dienstverlener als Verwerker beschouwd.
• Betrokkene: geïdentificeerde of identificeerbaar natuurlijk persoon op wie de verwerkte persoonsgegevens betrekking hebben.
• Verwerkingsovereenkomst: onderhavige bijlage inclusief de annexen.

Artikel 2. Verwerking van Persoonsgegevens

• 2.1. In het kader van de opdracht tussen partijen en in de context van de AVG treedt de aangeslotene op als Verwerkingsverantwoordelijke en treedt SSE vzw. (*) op als Verwerker.
• 2.2. Als verwerkingsverantwoordelijke behoudt de aangeslotene het volledige zeggenschap over de Persoonsgegevens en bepaalt hij/zij het onderwerp, de aard, het doel, de middelen en de duur van de verwerking van persoonsgegevens door de Verwerker in het kader van de Samenwerkingsovereenkomst.
• 2.3. De Verwerker verwerkt de Persoonsgegevens die haar door en op instructie van de aangeslotene werden toevertrouwd in het kader van diensten die de aangeslotene afneemt van de Verwerker overeenkomstig de tussen hen afgesloten Samenwerkingsovereenkomst.
• 2.4. Bij de verwerking van Persoonsgegevens handelen de aangeslotene en de Verwerker in overeenstemming met de wettelijke en reglementaire bepalingen inzake bescherming van Persoonsgegevens, inclusief de AVG.
• 2.5. Indien de aangeslotene zelf als Verwerker optreedt voor een derde verwerkingsverantwoordelijke wijzigt dit niets aan de zeggenschap en verantwoordelijkheid van de aangeslotene ten aanzien van de Persoonsgegevens in het kader van deze Verwerkingsovereenkomst.
• 2.6. De Verwerker verwerkt de Persoonsgegevens die zij van de aangeslotene ontvangt conform de onderhavige bijlage en de aan haar verstrekte opdracht en taken. De aard van de gegevens die door de Verwerker worden verwerkt en de doelstellingen van de verwerking, worden beschreven in annex 1 bij onderhavige bijlage. De aangeslotene ziet erop toe dat enkel die Persoonsgegevens die strikt noodzakelijk zijn voor de doelstellingen omschreven in annex 1 aan de Verwerker worden verstrekt en dat ze op een veilige manier aan de Verwerker worden verstrekt.
• 2.7. De Verwerker zal alle redelijke inspanningen leveren om de Persoonsgegevens die haar door de aangeslotene werden toevertrouwd op een behoorlijke en zorgvuldige wijze te verwerken en verwerkt de Persoonsgegevens uitsluitend in overeenstemming met de schriftelijke instructies van de aangeslotene zoals beschreven in deze bijlage.
• 2.8. Behoudens andersluidende bepalingen in deze bijlage en behoudens dwingende wettelijke verplichtingen in het kader van de uitvoering van haar opdracht (bv. RSZ, fiscus,…), zal de Verwerker de persoonsgegevens niet voor eigen doeleinden of voor die van derden verwerken, noch Persoonsgegevens aan derden verstrekken, noch deze doorsturen naar een land gelegen buiten de EER zonder schriftelijke instructies te hebben verkregen van de aangeslotene.
• 2.9. Indien een op de Verwerker van toepassing zijnde wettelijke of reglementaire bepaling of een bindende beslissing van een overheid of gerechtelijke instantie haar verplicht tot een bepaalde verwerking, dan zal de Verwerker de aangeslotene hiervan in kennis stellen voorafgaand aan deze verwerking, tenzij die bepaling deze kennisgeving verbiedt omwille van redenen van algemeen belang.
• 2.10. De aangeslotene garandeert dat zijn/haar instructies aan de Verwerker in overeenstemming zijn met de wet- en regelgeving inzake gegevensbescherming, die hij correct en volledig toepast, alsook met de instructies die door de verwerkingsverantwoordelijke werden verstrekt aan de aangeslotene indien de aangeslotene niet zelf als verwerkingsverantwoordelijke optreedt.
• 2.11. De aangeslotene garandeert eveneens dat alle Persoonsgegevens die aan de Verwerker worden toevertrouwd rechtmatig werden verkregen en rechtmatig kunnen worden verwerkt tijdens de hele duur van de Samenwerkingsovereenkomst. De aangeslotene vrijwaart SSE vzw. (*) integraal tegen elke klacht, actie of vordering vanwege Betrokkenen, derden, overheden en de verwerkingsverantwoordelijke als de aangeslotene zelf als Verwerker optreedt, die in dit verband wordt ingesteld alsook tegen elke schade die hieruit voortvloeit ten laste van de Verwerker, inclusief (administratieve) geldboeten, zowel in hoofdsom, interesten als kosten.
• 2.12. Indien de Verwerker zou oordelen dat de instructies van de aangeslotene een inbreuk inhouden op de wet- en regelgeving inzake gegevensbescherming maakt zij hiervan onverwijld melding aan de aangeslotene en kan de Verwerker beslissen om de verwerking niet uit te voeren en/of op te schorten. Een eventueel gebrek aan melding in hoofde van de Verwerker doet niets af van de aansprakelijkheid van de aangeslotene ten aanzien van de Verwerker ten gevolge van de onrechtmatige instructie.

Artikel 3. Beroep op derden

• 3.1. In geval de Verwerker in het kader van de verwerking van Persoonsgegevens en conform de bepalingen van de Samenwerkingsovereenkomst beroep doet op derden, streeft de Verwerker er steeds naar dat de betreffende derden een gelijkaardig niveau van gegevensbescherming kunnen bieden zoals opgenomen voor de Verwerker in deze bijlage.
• 3.2. De Verwerker zal bij de verwerking van de Persoonsgegevens geen beroep doen op derden buiten de EER, tenzij mits voorafgaande schriftelijke toestemming van de betrokken aangeslotene. Daarbij streeft de Verwerker er naar, onverminderd het voorgaande lid, dat deze derden een passend niveau van bescherming en veiligheid van Persoonsgegevens waarborgen in de zin van de AVG en bezorgt de Verwerker hiervan op schriftelijk verzoek de nodige informatie aan de aangeslotene.
• 3.3. De toestemming zoals bedoeld in bovenstaande paragraaf zal niet zonder redelijke grond worden geweigerd door de aangeslotene. In geval van weigering behoudt de Verwerker zich het recht voor om in voorkomend geval de toepassing van deze bijlage op te schorten, te beëindigen en/of wijzigingen aan de modaliteiten ervan voor te stellen zonder daarvoor enige schadevergoeding verschuldigd te zijn aan de aangeslotene.
• 3.4. De Verwerker informeert de aangeslotene overeenkomstig artikel 5, en voor zover de informatie beschikbaar is, van ieder Datalek vastgesteld bij een door de Verwerker ingeschakelde derde en dit zonder onredelijke vertraging van zodra de Verwerker hiervan op de hoogte is.

Artikel 4. Beveiliging en geheimhoudingsplicht

• 4.1. De Verwerker is gehouden tot geheimhouding van de Persoonsgegevens die zij van de aangeslotene ontvangt, behoudens indien en voor zover een wettelijk voorschrift haar verplicht tot openbaarmaking, dan wel de openbaarmaking in opdracht van de aangeslotene geschiedt.
• 4.2. De Verwerker neemt naar best vermogen passende technische en organisatorische maatregelen om de Persoonsgegevens die haar door de aangeslotene werden verstrekt te beveiligen tegen verlies of enige vorm van onrechtmatige toegang of verwerking ervan. Deze maatregelen richten zich er toe om, met inachtneming van de laatste stand der techniek en kosten gemoeid met de implementatie en uitvoering van de maatregelen, een passend beschermingsniveau te kunnen bieden, zulks rekening houdende met de risico’s die het verwerken van de Persoonsgegevens en de aard ervan, met zich meebrengen. In de annex 2 van deze Bijlage worden deze maatregelen bij wijze van voorbeeld toegelicht.
• 4.3. De Verwerker zorgt ervoor dat al haar personeel dat betrokken is bij de verwerking van Persoonsgegevens op de hoogte is van de door haar in deze Bijlage opgenomen verplichtingen en verplicht is die na te komen. Dit gebeurt door een geheimhoudingsverklaring als bijlage bij de arbeidsovereenkomst en/of arbeidsreglement, via het vastleggen van interne policies en door het regelmatig informeren van het personeel via infosessies.
• 4.4. De Verwerker aanvaardt om de aangeslotene in de mate van het mogelijke en tegen een redelijke vergoeding bij te staan bij het nakomen van diens formele verplichtingen in verband met gegevensbeschermingseffectbeoordelingen en het behandelen van Datalekken bij de aangeslotene.
• 4.5. Na de beëindiging van deze Verwerkingsovereenkomst blijven de verplichting tot het melden van Datalekken overeenkomstig artikel 5 en de plicht tot geheimhouding voortduren, voor zover het Persoonsgegevens betreft die de Verwerker in opdracht van de aangeslotene heeft verwerkt.

Artikel 5. Behandeling van datalekken

• 5.1. De Verwerker zal de aangeslotene gedetailleerd op de hoogte stellen indien een Datalek met potentiële impact voor de aangesloten bij haar heeft plaatsgevonden en dat haar toerekenbaar is, en dit uiterlijk binnen de 2 werkdagen nadat de de Verwerker hiervan kennis heeft genomen.
• 5.2. De Verwerker verschaft uit eigen beweging aan de aangeslotene alle beschikbare informatie betreffende het Datalek, waaronder aard en omvang van de Persoonsgegevens, inschatting van het aantal betrokkenen en de getroffen veiligheidsmaatregelen. Hierbij zal de Verwerker gebruik maken van het meldingsformulier Datalekken opgenomen in annex 3.
• 5.3. De aangeslotene of de verwerkingsverantwoordelijke namens wie de aangeslotene optreedt, kan onder omstandigheden verplicht zijn het Datalek te melden aan de Belgische toezichthoudende autoriteit of aan de Betrokkenen.
• 5.4. De Verwerker zal onder geen beding zelf overgaan tot het melden van enig Datalek aan de toezichthoudende autoriteit of aan de Betrokkenen.
• 5.5. De Verwerker zal de aangeslotene alle redelijkerwijze benodigde medewerking verlenen ten behoeve van het verkrijgen van inzicht in de ernst en (mogelijke) gevolgen van een vastgesteld Datalek bij de Verwerker In het bijzonder zal de Verwerker aan de aangeslotene alle informatie, voor zover beschikbaar, verschaffen waarvan de aangeslotene aangeeft dat deze noodzakelijk is bij de beoordeling of het Datalek gemeld moet worden aan de toezichthoudende autoriteit of aan Betrokkenen, tenzij dit wettelijk niet is toegestaan.

Artikel 6. Bewaartermijn en verwijdering van persoonsgegevens

• 6.1. De Verwerker bewaart de Persoonsgegevens gedurende de termijn dewelke noodzakelijk is voor het verrichten van de opdracht cf. bepaald is in de Samenwerkingsovereenkomst met de aangeslotene, inclusief verlengingen, en na afloop ervan aanvullend gedurende een termijn van maximum 10 jaar, behoudens indien gerechtvaardigde redenen een langere bewaartermijn zouden noodzaken.
• 6.2. Na afloop van de in art. 6.1 vooropgestelde bewaartermijn zal de Verwerker de Persoonsgegevens die ze in het kader van de Samenwerkingsovereenkomst heeft verwerkt op een uitdrukkelijk en schriftelijk verzoek van de aangeslotene, op een zorgvuldige en veilige wijze vernietigen voor zover er geen wettelijke verplichting rust op de Verwerker om bepaalde Persoonsgegevens gedurende een bepaalde termijn te bewaren.
• 6.3. Op uitdrukkelijk en schriftelijk verzoek van de aangeslotene kunnen de Persoonsgegevens na afloop van de vooropgestelde bewaartermijn terugbezorgd worden aan de aangeslotene. De teruggave geschiedt ten vroegste na een termijn van drie maanden die ingaat na afloop van de vooropgestelde bewaartermijn en gebeurt uitsluitend onder elektronische vorm.
• 6.4. De Verwerker kan afwijken van de hiervoor bepaalde verwijdering voor zover dat noodzakelijk is om tegenover de aangeslotene de nakoming van haar verplichtingen te bewijzen, of in geval van een wettelijke verplichting of bindende beslissing van een overheid of gerechtelijke instantie.
• 6.5. De teruggave en/of vernietiging van Persoonsgegevens zoals bepaald in dit artikel, geeft aanleiding tot een redelijke vergoeding voor de Verwerker ten laste van de aangeslotene, waarvan de modaliteiten overeen te komen zijn.

Artikel 7. Rechten van betrokkenen

• 7.1. In de mate dat het beantwoorden door de aangeslotene van verzoeken om uitoefening van de rechten van betrokkenen, zoals bepaald in hoofdstuk III van de AVG dit vereist en de aangeslotene niet zelf over de mogelijkheid beschikt, zal de Verwerker op schriftelijk verzoek van de aangeslotene naar best vermogen overgaan tot: (i) het schriftelijk verstrekken van alle benodigde informatie, voor zover beschikbaar, en (ii) het verbeteren, aanvullen, verwijderen, overdragen of afschermen van Persoonsgegevens, conform de instructies van de aangeslotene en voor zover dit redelijkerwijze mogelijk is en binnen een redelijke termijn.
• 7.2. Voor zover de in artikel 7.1. bedoelde dienstverlening toepasselijk, passend en mogelijk is, zullen Partijen de modaliteiten hiervan overeenkomen, alsook de redelijke vergoeding waarop de Verwerker voor deze dienstverlening gerechtigd is vanwege de aangeslotene.

Artikel 8. Diverse bepalingen

• 8.1. De aangeslotene heeft steeds het recht om, mits naleving van de geheimhoudingsplicht voorzien in de Samenwerkingsovereenkomst, zelf de naleving door de Verwerker van deze Bijlage te controleren door (i) informatie op te vragen bij de Verwerker die aantoont dat de Verwerker de in deze Bijlage vervatte verplichtingen naleeft, en (ii) na toestemming van de Verwerker, om zelf of door een daartoe gecertificeerde auditor, een controle uit te voeren bij de Verwerker.
• 8.2. Een in vorige paragraaf voorziene controle (i) is louter beperkt tot de gebouwen en lokalen waar de verwerkingsactiviteiten ten behoeve van de aangeslotene plaatsvinden en (ii) mag de bedrijfsactiviteiten van de Verwerker niet onnodig verstoren. In geen geval mag de continuïteit van de dienstverlening van de Verwerker door de controle in het gedrang worden gebracht. De aangeslotene zal de controle minimaal 10 werkdagen voor aanvang schriftelijk aankondigen aan de Verwerker; de exacte datum van de controle wordt in nader overleg tussen partijen bepaald. Voor de aanvang van de controle zullen Partijen in onderlinge overeenstemming het controleproces bepalen alsook de onderdelen waarop de controle zal gebeuren.
• 8.3. De aangeslotene draagt de kosten van de hierboven vermelde informatie-opvraging en controle. De aangeslotene is hierbij eveneens gehouden tot een redelijke vergoeding voor de inzet van begeleidend personeel van de Verwerker voor de organisatie en de voorbereiding van de controle.
• 8.4. De Verwerker geeft toestemming om de eindresultaten die uit de hierboven vermelde controle voortkomen, te delen met de aangeslotene (mits dit door een geheimhoudingsovereenkomst gedekt is die minstens dezelfde waarborgen biedt als de geheimhoudingsplicht voorzien in de Samenwerkingsovereenkomst).
• 8.5. De Verwerker is gerechtigd om (i) eventuele wijzigingen en/of updates aan te brengen inzake de maatregelen en processen beschreven in huidig document en de annexen teneinde aan haar verplichtingen in het kader van deze Bijlage te kunnen blijven voldoen en (ii) eventuele wijzigingen aan te brengen die noodzakelijk zijn om te kunnen voldoen aan wettelijke verplichtingen in hoofde van de Verwerker dan wel aan bindende beslissingen van een overheid of een gerechtelijke instantie.
• 8.6. Voor het overige zijn/blijven alle bepalingen van de tussen Partijen bestaande Samenwerkingsovereenkomst onverkort verder van toepassing.
• 8.7. In geval van vragen kan u zich steeds wenden tot GDPR-INFO@easypay-group.com.