RGPD overeenkomst tussen:
QUALIPSO waarvan de maatschappelijke zetel gevestigd is Rue André Dumont n°9 Box 1 1435 Mont Saint-Guibert vertegenwoordigd door de heer De Dorlodot Benoît
Hier in na aangeduid als " de partner " en " de klant "
De partner treedt op als dienstverlener voor de klant. In het kader van deze opdracht heeft de partner toegang tot de persoonlijke gegevens van de klant, die draagt altijd de eindverantwoordelijkheid als verantwoordelijke voor de verwerking. Door deze onderaannemingscontract beogen de partijen de voorwaarden en afspraken met betrekking tot deze behandeling.
Artikel 1 st - Definities en begrippen
In de context van dit contract hebben de volgende begrippen de volgende betekenis betekenis:
- GDPR: Algemene Verordening Gegevens Gegevensbeschermingsverordening (EU-verordening 2016/679);
- Inbreuk op gegevens: inbreuk op de beveiliging met als gevolg onopzettelijke of onwettige vernietiging, verlies verlies, wijziging of onbevoegde bekendmaking van persoonlijke gegevens die zijn verzonden, opgeslagen of anderszins verwerkt, of onbevoegde toegang tot dergelijke gegevens; of anderszins verwerkt, of onbevoegde toegang tot dergelijke gegevens;
- Persoonsgegevens: alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon (hierna de "betrokkene" genoemd) die de partner behandelt in het kader van dit contract. Een identificeerbare natuurlijke persoon is een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van verwijzing naar een identificator, zoals een naam, een identificatienummer locatiegegevens, een online identificator of een of meer specifieke elementen, die specifiek zijn voor zijn fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit ;
- Verwerking : elke transactie of reeks transacties die al dan niet met behulp van geautomatiseerde processen en toegepast op persoonsgegevens, zoals verzamelen, registreren organisatie, bewaring, aanpassing of wijziging, extractie raadpleging, gebruik, communicatie
- door verzending, verspreiding of enige andere vorm van beschikbaarstelling, afstemming of onderlinge verbinding, alsmede door vergrendeling, wissing of vernietiging ;
- Verantwoordelijke voor de verwerking: natuurlijke of rechtspersoon, overheidsinstantie, dienst of elk ander orgaan dat, alleen of samen met anderen, de doeleinden en middelen van de verwerking van persoonsgegevens vaststelt. Als onderdeel van dit contract wordt de klant geacht verantwoordelijk te zijn voor de verwerking;
- Partner: natuurlijke of rechtspersoon, overheidsinstantie, dienst of enige andere instantie die persoonsgegevens verwerkt namens de voor de verwerking verantwoordelijke;
- Betrokkene: geïdentificeerde of identificeerbare natuurlijke persoon op wie de persoonsgegevens betrekking hebben;
- RGPD Overeenkomst: deze onderaannemingsovereenkomst, met inbegrip van de bijlagen.
Artikel 2 - Onderaanneming Sluiting, duur en beëindiging van de onderaanneming
Na afloop van deze overeenkomst blijven de verplichtingen inzake kennisgeving van datalekken en vertrouwelijkheid lekken en geheimhouding gehandhaafd, voor zover deze betrekking hebben op persoonsgegevens die door de partner namens de klant worden verwerkt.
Artikel 3 - Verwerking van persoonsgegevens Verwerking van persoonsgegevens
3.1. In het kader van de verbintenis tussen de partijen en in de context van de GDPR, treedt de klant op als verwerkingsverantwoordelijke en themis-security als een partner.
3.2. Als verantwoordelijke voor de verwerking inde zin van Paragraaf 4 (7) van de RGPD, behoudt de klant de volledige controle over zijn persoonsgegevens en bepaalt het doel, de aard, het doel, de middelen en de duur van de verwerking van persoonsgegevens door de partner in het kader van dit contract. 3.3. De partner, in de zin van paragraaf 4 (8) van de RGPD, verwerkt de persoonlijke gegevens die aan hem zijn toevertrouwd door en in opdracht van de klant in het kader van de diensten die de klant ontvangt in overeenstemming met de samenwerkingsovereenkomst die tussen hen is gesloten.
3.4. Bij de verwerking van persoonlijke gegevens handelen de partner en de klant in overeenstemming met in overeenstemming met de wettelijke en reglementaire bepalingen met betrekking tot de bescherming van persoonsgegevens, waaronder die van de RGPD. Het feit dat de klant ook optreedt als partner voor een derde partij die verantwoordelijk is voor de verwerking, doet niets af aan de controle en verantwoordelijkheid van de van de klant over persoonsgegevens onder dit contract.
3.5. De aard van de verwerkte gegevens en de doeleinden van de verwerking worden beschreven in BIJLAGE 1 vandit contract. De klant zal ook ervoor te zorgen dat alleen persoonsgegevens die strikt noodzakelijk zijn voor de in doeleinden zoals beschreven in bijlage 1 worden verstrekt en dat ze op een veilige manier worden verwerkt.
Artikel 4 - Partnerinspanningen Inspanningen van partners
4 .1. De Partner zal zich redelijkerwijs inspannen om de persoonlijke en loyaliteit met de door de Klant aan hem toevertrouwde persoonsgegevens en zal dit doen in overeenstemming met de instructies van de Klant zoals beschreven in deze Overeenkomst.
4 .2. De partner stemt er ook mee in de persoonlijke gegevens vertrouwelijk te behandelen.
4 .3. Tenzij anders bepaald in dit contract en tenzij anderszins wettelijk verplicht is bij de uitvoering van zijn taken, zal de partner geen persoonsgegevens verwerken voor zijn eigen doeleinden of die van derden deze niet verstrekken aan derden en deze niet verzenden naar een land buiten de EER zonder daartoe schriftelijke instructies te hebben ontvangen van van de klant. Als een wettelijke of reglementaire bepaling die van toepassing is op de partner van toepassing is of een dwingende beslissing van de overheid of een gerechtelijke instantie de partner tot een dergelijke behandeling dwingt, zal de klant vooraf op de hoogte worden gebracht, tenzij deze bepaling een dergelijke kennisgeving verbiedt om redenen van algemeen belang.
Artikel 5 - Klant garanties
5 .1. De klant garandeert dat zijn instructies aan de partner voldoen aan aan de wet- en regelgeving op het gebied van gegevensbescherming, die hij volledig en correct toepast, en aan de instructies die hij van de partner heeft ontvangen volledig en correct toepast, evenals met de instructies die door de gegeven door de voor de verwerking verantwoordelijke aan de klant als deze niet zelf optreedt als verantwoordelijke voor de verwerking.
5 .2. De klant garandeert verder dat alle persoonlijke gegevens die worden toevertrouwd aan de partner rechtmatig verkregen zijn en rechtmatig behandeld kunnen worden gedurende de looptijd van het contract. De klant vrijwaart de partner volledig vrij tegen elke vordering, actie of aanspraak van de betrokkenen, derden partijen, autoriteiten en controller als de klant optreedt als partner, evenals partner, alsmede tegen alle schade die daaruit voor de klant kan voortvloeien. partner, met inbegrip van (administratieve) boetes, zowel in hoofdsom, rente als kosten.
5 .3. Als de partner vindt dat de instructies van de klant in strijd zijn met de wet- en regelgeving inzake gegevens wet- en regelgeving inzake gegevensbescherming, is hij of zij verplicht om de cliënt hiervan onverwijld op de hoogte te stellen, waarbij de partner dan het recht heeft om te besluiten de behandeling niet uit te voeren en/of op te schorten.
Artikel 6 - Gebruik van derden
6 .1. De partner is niet gemachtigd om derden in te schakelen voor de verwerking van de persoonlijke gegevens van de klant zonder voorafgaande schriftelijke toestemming van de klant de klant. Als de klant toestemming geeft, zal de partner ervoor zorgen dat dat de betrokken derden een gelijkwaardig niveau van gegevensbescherming bieden aan het niveau dat door dit contract aan de partner wordt opgelegd.
6 .2. De partner zal ook geen derde partijen buiten de EER inschakelen voor de verwerking van persoonsgegevens, tenzij met voorafgaande schriftelijke toestemming van de klant. Zonder afbreuk te doen aan de voorgaande paragraaf, zal de partner garandeert de partner dat de betrokken derden een passend niveau van van bescherming en beveiliging van persoonsgegevens in de zin van de GDPR en de nodige informatie zullen verstrekken aan de klant op schriftelijk verzoek door deze laatste.
6 .3. Toestemming als bedoeld in de voorgaande leden zal niet zonder redelijke grond door de cliënt worden geweigerd door de cliënt zonder redelijke grond. In geval van weigering behoudt de partner behoudt de partner zich het recht voor om, indien nodig, het huidige contract op te schorten, te te beëindigen en/of wijzigingen in de voorwaarden voor te stellen zonder dat de klant tot enige schadevergoeding jegens de klant.
6 .4. De partner informeert de klant overeenkomstig artikel 8 en voor zover deze informatie beschikbaar is, van elk lekken van gegevens bij een derde waarop de partner een beroep heeft gedaan, zonder onnodige vertraging en zodra de partner hiervan op de hoogte is.
Artikel 7 - Beveiliging Veiligheid en geheimhoudingsplicht
7 .1. De partner is verplicht tot geheimhouding van de persoonsgegevens ontvangen van de klant, tenzij en voor zover een wettelijk verplichting hem verplicht ze te publiceren of als deze publicatie plaatsvindt plaatsvindt in opdracht van de klant.
7 .2. De partner neemt met de nodige zorgvuldigheid passende technische en passende technische en organisatorische maatregelen om de door de klant verstrekte persoonsgegevens te beschermen tegen verlies of enige andere vorm van onrechtmatige toegang of verwerking. Deze maatregelen garanderen een passend beschermingsniveau, rekening houdend met rekening houdend met de stand van de techniek en de kosten in verband met de uitvoering ervan, evenals de risico's die inherent zijn aan de verwerking van persoonsgegevens en hun aard aard.
7 .3. De partner zorgt er ook voor dat zijn personeel dat betrokken is bij de verwerking van persoonsgegevens op de hoogte is van de verplichtingen die het op zich heeft genomen op zich heeft genomen in het kader van dit contract en verplicht is deze na te leven. Deze bepaling wordt geconcretiseerd door een geheimhoudingsverklaring die wordt gevoegd bij de arbeidsovereenkomst en/of werkreglement, intern beleid en regelmatige informatie van het personeel.
7 .4 Als de klant onomstotelijk kan aantonen dat een partner nalaat om om dergelijke passende technische en organisatorische maatregelen te nemen, dan is het het niet nemen van dergelijke maatregelen binnen een redelijke, door de klant gestelde termijn de klant, heeft de klant het recht om het contract van samenwerking te beëindigen en/of de onderaannemingsopdracht te beëindigen, zonder onverminderd zijn andere rechten op grond van de wet en/of dit contract.
7 .5. De partner stemt ermee in om, voor zover mogelijk en tegen een redelijke vergoeding, de cliënt te helpen bij het nakomen van zijn verplichtingen met betrekking tot gegevensbeschermingseffectbeoordelingen en de behandeling van datalekken.
Artikel 8 - Behandeling Behandeling van datalekken
8 .1. De partner stelt de klant op gedetailleerde wijze op de hoogte van elk datalek datalekken die zich thuis hebben voorgedaan en aan hem kunnen worden toegeschreven, en dit uiterlijk uiterlijk binnen 72 uur na het bekend worden.
De Partner zal de Klant op eigen initiatief voorzien van alle beschikbare informatie over het datalek, met inbegrip van de aard en omvang van de persoonsgegevens, een schatting van het aantal betrokkenen en de geplande geplande beveiligingsmaatregelen.
8 .2. De klant of de verantwoordelijke voor de verwerking in wiens naam de klant handelt, kan, onder onder bepaalde omstandigheden verplicht zijn om het datalek te melden aan de Belgische toezichthoudende autoriteit of de betrokkenen. De partner zal in geen geval zelf over tot de melding van een datalek aan de toezichthoudende autoriteit of de betrokkenen.
8 .3. De partner zal de klant alle redelijke en vereiste samenwerking die hen in staat kan stellen om een idee te krijgen van de ernst en de (mogelijke) gevolgen van het waargenomen datalek. In het bijzonder zal de partner de klant alle informatie (mits beschikbaar) die de klant beschikbaar is) die door de klant wordt verstrekt als noodzakelijk voor de beoordeling van de situatie of die moet worden meegedeeld aan de toezichthoudende autoriteit of aan de betrokken personen, tenzij de wet dit niet toestaat.
Artikel 9 - Bewaartermijn en verwijdering Bewaartermijn en verwijdering van persoonsgegevens
9 .1. Na het verstrijken van de wettelijke bewaartermijnen of, bij gebreke daaraan tijd die nodig is om de opdracht uit te voeren, vernietigt de partner nauwgezet de persoonsgegevens die hij heeft verwerkt in het kader van de samenwerkingsovereenkomst, op voorwaarde dat er geen wettelijke verplichting op de partner om bepaalde persoonsgegevens gedurende een bepaalde periode te bewaren.
9 .2. Op uitdrukkelijk en schriftelijk verzoek van de klant kunnen de persoonlijke gegevens aan de klant worden geretourneerd na afloop van de bewaarperiode periode. De partner kan afwijken van het wissen van de gegevens op voorwaarde dat dat het essentieel is om aan te tonen dat hij zijn verplichtingen tegenover de klant nakomt, of in geval van een rechtszaak klant, of in geval van een wettelijke verplichting of een dwingende beslissing van de overheid of een gerechtelijke instantie. De teruggave en/of vernietiging van persoonsgegevens, zoals gedefinieerd in dit artikel, kan aanleiding geven tot een redelijke vergoeding voor de afhankelijke partner van de klant, waarvan de voorwaarden overeengekomen.
Artikel 1 0 - Rechten van betrokkenen
Voor zover vereist door de verplichting van de cliënt om te reageren op verzoeken van de betrokken personen met het oog op de uitoefening van hun rechten, zoals zoals bepaald in Hoofdstuk III van de GDPR, en wanneer de klant niet zelf niet over deze mogelijkheid beschikt, zal de partner op schriftelijk verzoek van de klant op schriftelijk verzoek van de klant en met alle vereiste zorgvuldigheid over tot de volgende handelingen verrichten :
1. Schriftelijk alle vereiste informatie verstrekken, voor zover deze beschikbaar is; en 2. Correctie, bijwerking, verwijdering, overdracht of beperking van persoonlijke gegevens, in overeenstemming met de instructies van de klant, en voor zover redelijkerwijs mogelijk en binnen een redelijke termijn.
Artikel 1 1 - Aansprakelijkheid
1 1 .1. In geval van bewijs van een aan de partner toe te rekenen inbreuk met betrekking tot de naleving van onderhavig contract, is de partner uitsluitend verantwoordelijk voor de directe, bewezen en zekere schade geleden door de de klant, op voorwaarde dat de klant de partner vooraf en schriftelijk heeft aangemaand om zijn verplichtingen na te komen en dat de klant de partner heeft aangemaand om zijn verplichtingen na te komen, de partner heeft aangemaand om zijn verplichtingen na te komen en hem een redelijke tijd heeft gegeven om dit te doen.
1 1 .2. De aansprakelijkheid van de partner onder dit contract omvat alleen vergoeding van directe schade, de schade die het directe en direct gevolg is van een aan de partner toe te rekenen fout bij de uitvoering van dit contract.
Artikel 1 2 - Diverse bepalingen Diverse bepalingen
1 2 .1. De klant heeft altijd het recht om, met inachtneming van de verplichting tot vertrouwelijkheid die in het samenwerkingscontract is opgenomen, zelf de naleving van dit contract door de partner te controleren door te vragen de partner om informatie te vragen waaruit blijkt dat deze de verplichtingen verplichtingen van dit contract.
1 2 .2. Deze controle mag op geen enkele manier de continuïteit van de diensten van de partner in gevaar brengen.
1 2 .3. Wijzigingen in dit contract zijn alleen geldig indien schriftelijk overeengekomen tussen de partijen. Deze bepaling is niet van toepassing op (i) wijzigingen en/of / of updates door de Partner met betrekking tot de maatregelen en procedures beschreven in bijlage 2 om te blijven voldoen aan zijn verplichtingen krachtens dit contract en (ii) wijzigingen die noodzakelijk zijn om te voldoen aan de wettelijke verplichtingen van de partner of de bindende besluiten van de overheid of een rechterlijke instantie.
1 2 .4. Op dit contract is uitsluitend Belgisch recht van toepassing. De volgende rechtbanken zijn als enige bevoegd in geval van geschillen:
NIVELLES Hof
Bijlage 1: Aard van de verwerkte persoonsgegevens en het doel van de verwerking
Beschrijving van de persoonsgegevens die door de partner in het kader van het contract en gerelateerde doeleinden TYPE PERSOONSGEGEVENS DOEL VAN DE BEHANDELING
Persoonlijke identificatiegegevens
Achternaam, voornaam naam, adres, telefoon
Elektronisch identificatiegegevens :
Hosting van gegevens van klanten met betrekking tot onze applicaties Hosting van dataklanten gerelateerd aan onze toepassingen
|
Afbeelding : Foto |
Hosting van gegevens klanten gerelateerd aan onze applicaties |
Bijlage 2: Overzicht van beveiligingsmaatregelen
Deze bijlage geeft een overzicht van de beveiligingsmaatregelen die de partner ten minste moet nemen.
De partner probeert alle gepaste en redelijke technische en organisatorische maatregelen te nemen om ervoor te zorgen dat de aan hem toevertrouwde persoonsgegevens niet het voorwerp zijn van verlies of onrechtmatige verwerking en in het bijzonder niet toegankelijk zijn voor onbevoegde personen.
Checklist van technische beveiligingsmaatregelen:
o Gebruik van een bijgewerkte antivirus;
o Een firewall installeren;
o Gebruik van een strikt wachtwoordbeleid (d.w.z. unieke inlogcodes en persoonlijke wachtwoorden);
o Systematische beveiligde back-ups om te beschermen tegen gegevensverlies;
o Bescherming van fysieke toegang tot persoonlijke gegevens voor degenen die daar uit hoofde van hun taken geen toegang toe zouden mogen hebben; o Registratie van activiteiten met betrekking tot de verwerking van toegang zouden moeten hebben vanwege hun taken; o Registratie van activiteiten met betrekking tot de verwerking van persoonsgegevens;
o Geen onbeveiligde harde schijven gebruiken;
Checklist van organisatorische maatregelen:
o Algemeen informatiebeleid voor het personeel over de bescherming van privacy;
o Opstellen van een intern beleid en richtlijnen met betrekking tot het vertrouwelijk beheer van persoonlijke gegevens; o Opstellen van interne procedures in geval van incidenten (gegevenslekken ...);
o Toepassing van persoonsregistratie en identificatiesystemen voor toegang tot gebouwen om ervoor te zorgen dat onbevoegde personen geen toegang hebben tot de gebouwen van de onderneming;
o Toepassing van een algemene gedragscode met betrekking tot het gewetensvolle gebruik van computerapparatuur (laptops, smartphones, USB sleutels, enz.) en andere productiemiddelen;
o Gebruik van een clean desk policy om vertrouwelijke gegevens te beschermen tegen de ogen van onbevoegde personen;
