Informatie over gegevensverwerking 


Artikel 1
Deze overeenkomst wordt beheerst door de EU Verordening 2016/679 van 27 april 2016 betreffende gegevensbescherming (AVG), alsook enige andere relevante wetgeving die van toepassing is op het grondgebied van de Europese Unie. Naar het geheel van deze wetgeving wordt hieronder verwezen als “Privacywetgeving”.
De termen “Persoonsgegevens”, “Verwerking”, “Verwerkingsverantwoordelijke”, “Verwerker”, “Ontvanger”, “Betrokkene”, “Inbreuk in verband met persoonsgegevens” en “Toezichthoudende autoriteit” worden gedefinieerd in conformiteit met de definities vervat in de Privacywetgeving.

Artikel 2
De Partijen zullen de geldende Privacywetgeving naleven. Alvorens de Persoonsgegevens aan de Verwerker te verstrekken, dan wel aan de Verwerker instructies te geven de Persoonsgegevens te Verwerken, stelt de Verwerkingsverantwoordelijke vast dat een dergelijke Verwerking van Persoonsgegevens is toegestaan conform artikel 6 van de AVG.

Artikel 3
Het onderwerp, de duur, de aard en het doel van de Verwerking zijn opgenomen in Bijlage 1 bij deze Overeenkomst. Bijlage 1 bevat tevens een overzicht van het soort Persoonsgegevens en de categorieën van Betrokkenen.

Artikel 4
De Verwerker zal de Persoonsgegevens die zij verwerkt ten behoeve van de Verwerkingsverantwoordelijke geheimhouden, en zal eveneens ieder die handelt onder haar gezag verplichten deze gegevens geheim te houden, behoudens voor zover enig wettelijk voorschrift hen tot mededeling verplicht of uit hun taak de noodzaak tot mededeling voortvloeit.
De Verwerker neemt maatregelen om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder haar gezag en toegang heeft tot de Persoonsgegevens, deze slechts in opdracht van de Verwerkingsverantwoordelijke verwerkt, tenzij hij daartoe Unierechtelijk of lidstaatrechtelijk is gehouden.
De Verwerker verwerkt deze Persoonsgegevens slechts in opdracht van de Verwerkingsverantwoordelijke, behoudens afwijkende wettelijke verplichtingen, en volgens de schriftelijke instructies van de Verwerkingsverantwoordelijke. Dit geldt onder meer ten aanzien van de doorgifte van de Persoonsgegevens naar landen buiten de Europese Economische Ruimte (“EER”), tenzij een specifieke Verwerking is vereist onder geldende wet- en regelgeving. In dat geval zal de Verwerker de Verwerkingsverantwoordelijke hiervan op de hoogte brengen alvorens tot deze Verwerking van Persoonsgegevens over te gaan, tenzij een dergelijke mededeling niet is toegestaan.

Artikel 5
De Verwerker informeert de Verwerkingsverantwoordelijke indien een instructie naar haar mening in strijd is met de geldende Privacywetgeving.

Artikel 6
De Verwerker zal passende technische en organisatorische maatregelen treffen teneinde de Persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen dienen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau te garanderen gelet op de risico’s die de Verwerking en de aard van de Persoonsgegevens met zich meebrengen.

Artikel 7
De Verwerker stelt de Verwerkingsverantwoordelijke op diens verzoek alle informatie ter beschikking die nodig is om de nakoming van de onder artikel 28 van de AVG en deze Overeenkomst vastgelegde verplichtingen te verifiëren.
De Verwerker stelt de Verwerkingsverantwoordelijke, of een door de Verwerkingsverantwoordelijke gemachtigd controleur, verder in de gelegenheid de naleving van deze Overeenkomst en wettelijke bepalingen die op de Verwerking van de Persoonsgegevens van toepassing zijn, te controleren door middel van inspecties en audits. De Verwerkingsverantwoordelijke dient de nodige maatregelen te treffen teneinde te garanderen dat dergelijke inspecties en audits niet verder gaan dan nodig om de nakoming van de verplichtingen onder artikel 28 van de AVG en deze Overeenkomst te verifiëren en dat de integriteit en vertrouwelijkheid van Persoonsgegevens strikt wordt nageleefd. De Verwerkingverantwoordelijke voert de inspecties en audits op eigen risico uit en vrijwaart de Verwerker voor alle schade die daarvan het gevolg kan zijn, met inbegrip van Inbreuken in verband met persoonsgegevens die eruit zouden voortvloeien.

Artikel 8
De Verwerker zal de Verwerkingsverantwoordelijke op de hoogte stellen van:

  • Een Inbreuk in verband met persoonsgegevens (“Datalek”) dat moet worden gemeld conform artikel 33 en 34 van de AVG. De Verwerker zal de Verwerkingsverantwoordelijke zonder onnodige vertraging en zo mogelijk binnen de 72 uur informeren over een Datalek;
  • Een klacht van een Betrokkene;
  • Een verzoek van een Betrokkene omtrent het uitoefenen van zijn uit de Verordening voortvloeiende rechten; en/of
  • Een onderzoek door de Toezichthoudende autoriteit of andere bevoegde autoriteit, voor zover dit is toegestaan ingevolge geldende wet- en regelgeving.

 
Artikel 9
De Verwerker zal de Verwerkingsverantwoordelijke op diens verzoek medewerking verlenen in het kader van een verzoek van of onderzoek door een Toezichthoudende autoriteit of andere bevoegde autoriteit, of in het kader van een verzoek of klacht van een Betrokkene van wie Persoonsgegevens worden verwerkt door de Verwerker. De Verwerker zal ook haar medewerking verlenen aan de Verwerkingsverantwoordelijke om de Verwerkingsverantwoordelijke in staat te stellen om, wat de in Bijlage 1 opgenomen Verwerkingen betreft, te voldoen aan de geldende Privacywetgeving.

Artikel 10
De Verwerker zal de Verwerking van Persoonsgegevens noch geheel, noch gedeeltelijk aan een onderaannemer uitbesteden zonder voorafgaandelijke schriftelijke toestemming van de Verwerkingsverantwoordelijke. De Verwerkingsverantwoordelijke heeft het recht deze toestemming zonder opgave van reden te weigeren of aan deze toestemming nadere voorwaarden te verbinden. De onderaannemer van de Verwerker moet minimaal voldoen aan contractuele bepalingen die gelijk zijn aan de bepalingen van deze Overeenkomst. Indien de onderaannemer verzuimt zijn verplichtingen betreffende privacy onder deze overeenkomst met de Verwerker na te komen, is de Verwerker volledig verantwoordelijk jegens de Verwerkingsverantwoordelijke voor de nakoming van de verplichtingen van de onderaannemer onder de uitbestedingsovereenkomst.
Door deze Overeenkomst te ondertekenen verleent de Verwerkingsverantwoordelijke aan de Verwerker toestemming om ondernemingen binnen hetzelfde consortium als de Verwerker in te schakelen voor de Verwerking van Persoonsgegevens, zoals onder meer eHealthsoft cvba, Alandra bvba, MAD Factory bvba en SolFactory bv.

Artikel 11
De Verwerker kan de Persoonsgegevens Verwerken in landen buiten de EER op voorwaarde dat de Verwerker voldoet aan het bepaalde in hoofdstuk 5 van de AVG (“Doorgiften van persoonsgegevens aan derde landen of internationale organisaties”).
Indien tijdens het verlenen van diensten Persoonsgegevens worden doorgegeven naar landen buiten de EER, zullen de Verwerkingsverantwoordelijke en de Verwerker een overeenkomst voor de doorgifte van gegevens aangaan die tenminste gelijk is aan de goedgekeurde Standaard Contractuele Clausules van de Europese Commissie. Ingeval de Standaard Contractuele Clausules ongeldig worden verklaard, zullen Partijen een nader mechanisme overeenkomen dat is toegestaan op grond van de Privacywetgeving die op dat moment van toepassing is.

Artikel 12
Na afloop van de verwerkingsdiensten zal de Verwerker, naargelang de keuze van de Verwerkingsverantwoordelijke, alle Persoonsgegevens wissen of deze aan de Verwerkingsverantwoordelijke terugbezorgen en kopieën verwijderen, tenzij de Verwerker een wettelijke of professionele plicht tot het bewaren van deze gegevens heeft. Partijen erkennen dat deze verplichting niet van toepassing is op gegevens die de Verwerker voor back-updoeleinden bewaart, op voorwaarde dat de beveiligings- en geheimhoudingsbepalingen als opgenomen in deze Overeenkomst daarop van toepassing blijven.

Artikel 13
In geval van tegenstrijdigheid tussen een bepaling van deze Overeenkomst en een bepaling in een andere tussen de Partijen gesloten overeenkomst, heeft de relevante bepaling in deze Overeenkomst voorrang.

Artikel 14
Deze Overeenkomst zal worden aangepast in onderling overleg tussen de Verwerkingsverantwoordelijke en de Verwerker telkens wanneer dit vereist is ingevolge de Privacywetgeving.

Artikel 15
Op alle rechtsverhoudingen tussen de Verwerkingsverantwoordelijke en de Verwerker is het Belgisch recht van toepassing. De Nederlandstalige rechtbanken van het arrondissement Brussel zijn bij uitsluiting bevoegd om van geschillen die ontstaan tussen de Verwerkingsverantwoordelijke en de Verwerker voortvloeiende uit of in verband met (de uitvoering van) de Overeenkomst kennis te nemen.